none
Política aplicada a ip usuario RRS feed

  • Pregunta

  • Buenas tardes:

      He intentado documentarme (incluso en foros de habla inglesa) acerca de que si en W2008 Server se puede aplicar una política sobre ip, en lugar de nombre de equipo. Sería posible?.

      Gracias. Salu2!

    jueves, 6 de mayo de 2010 12:43

Respuestas

  • En Sitios y Servicios de Active Directory puedes dar de alta Sitios y redes. Las redes, una vez dadas de alta, las puedes asignar a los sitios. Imagina que tienes un dominio con dos sitios: Alpedrete y Beteta. Los equipos en Alpedrete están en el segmento de red 192.168.0.0/24 y los de Beteta en 192.168.1.0/24. En sitios y servicios de Active Directory deberías crear dos sitios: Alpedrete y Beteta. También deberías crear dos redes: la 192.168.0.0/24 y la 192.168.1.0/24. Una vez creadas, asignarías la red 192.168.0.0/24 al sitio de Alpedrete y la red 192.168.1.0/24 al sitio de Beteta. Luego tendrías una GPO vinculada al sitio de Alpedrete y otra al sitio de Beteta, cada GPO con las configuraciones que requirieses.

    Administering Intersite Replication
    http://technet.microsoft.com/es-es/library/cc779003%28WS.10%29.aspx

    Designing the Site Topology
    http://technet.microsoft.com/es-es/library/cc787284%28WS.10%29.aspx

     


    Un saludo

    Fernando Reyes [MS MVP]
    MCSA 2000/2003
    MCSE 2000/2003
    MCITP EnterpriseAdministrator
    Web: http://freyes.svetlian.com
    Blog: http://urpiano.wordpress.com
    RSS: http://urpiano.wordpress.com/feed/
    freyes.champú@champú.mvps.org
    (Aclárate la cabeza si quieres escribirme)
    jueves, 6 de mayo de 2010 14:47
    Moderador
  • Hola,

    si es asi, te afectaria a todos los equipos con IP 192.168.1.X , asi que o aislas el equipo en una subnet aparte o habra que utilizar otros mecanismos.

    Porque quieres hacerlo por IP y no por nombre del equipo?

    Se me ocurre que en esa GPO puedes incluir un filtro WMI en el que verifiques la IP del equipo, he estado buscando un poco y parece ser que no acaban de funcionar correctamente los filtros WMI por IP aunque un usuario en un foro comenta que a el le funciono esta query para el filtro WMI

    select * from Win32_IP4RouteTable where Name like "X.X.X.X"

    si lo pruebas comentalo por aqui para dejar constancia de si funciona o no.

    Saludos!!

     

    jueves, 6 de mayo de 2010 17:29
    Moderador
  •  

    Hola,

    creo que es mas facil solventar un problema de DNS que el de aplicacion de una GPO a un equipo con una IP especifica, aun y asi si te animas a probar el filtro WMI cuentanos el resultado si te funciono, y si quieres comentar el problema con el DNS tambien podemos intentar solucionarlo.


    Saludos!!

     

    viernes, 7 de mayo de 2010 10:28
    Moderador
  • Yo diría algo más. Si en un dominio tienes problemas con el DNS ¡¡A por ellos!! Es el esqueleto de Active Directory.

    Un saludo

    Fernando Reyes [MS MVP]
    MCSA 2000/2003
    MCSE 2000/2003
    MCITP EnterpriseAdministrator
    Web: http://freyes.svetlian.com
    Blog: http://urpiano.wordpress.com
    RSS: http://urpiano.wordpress.com/feed/
    freyes.champú@champú.mvps.org
    (Aclárate la cabeza si quieres escribirme)
    viernes, 7 de mayo de 2010 10:55
    Moderador

Todas las respuestas

  • Si lo que quieres es aplicar políticas según el segmento de red al que pertenecen los equipo, puedes usar GPOs vinculadas a Sitios de Active Directory, teniendo los sitios los segmentos que correspondan asignados.

    Un saludo

    Fernando Reyes [MS MVP]
    MCSA 2000/2003
    MCSE 2000/2003
    MCITP EnterpriseAdministrator
    Web: http://freyes.svetlian.com
    Blog: http://urpiano.wordpress.com
    RSS: http://urpiano.wordpress.com/feed/
    freyes.champú@champú.mvps.org
    (Aclárate la cabeza si quieres escribirme)
    jueves, 6 de mayo de 2010 13:56
    Moderador
  • Gracias Fernando por la respuesta. No he entendido la parte de "teniendo los sitios los segmentos que correspondan asignados". Me lo puedes explicar algo más extensivo?. Gracias anticipadas. Salu2.
    jueves, 6 de mayo de 2010 14:10
  • En Sitios y Servicios de Active Directory puedes dar de alta Sitios y redes. Las redes, una vez dadas de alta, las puedes asignar a los sitios. Imagina que tienes un dominio con dos sitios: Alpedrete y Beteta. Los equipos en Alpedrete están en el segmento de red 192.168.0.0/24 y los de Beteta en 192.168.1.0/24. En sitios y servicios de Active Directory deberías crear dos sitios: Alpedrete y Beteta. También deberías crear dos redes: la 192.168.0.0/24 y la 192.168.1.0/24. Una vez creadas, asignarías la red 192.168.0.0/24 al sitio de Alpedrete y la red 192.168.1.0/24 al sitio de Beteta. Luego tendrías una GPO vinculada al sitio de Alpedrete y otra al sitio de Beteta, cada GPO con las configuraciones que requirieses.

    Administering Intersite Replication
    http://technet.microsoft.com/es-es/library/cc779003%28WS.10%29.aspx

    Designing the Site Topology
    http://technet.microsoft.com/es-es/library/cc787284%28WS.10%29.aspx

     


    Un saludo

    Fernando Reyes [MS MVP]
    MCSA 2000/2003
    MCSE 2000/2003
    MCITP EnterpriseAdministrator
    Web: http://freyes.svetlian.com
    Blog: http://urpiano.wordpress.com
    RSS: http://urpiano.wordpress.com/feed/
    freyes.champú@champú.mvps.org
    (Aclárate la cabeza si quieres escribirme)
    jueves, 6 de mayo de 2010 14:47
    Moderador
  • Me ha quedado aclarado, gracias. Pero saco en conclusión que La GPO administraría un rango, es decir. Supongamos que tengo en Beteta la ip 192.168.1.24 y la 192.168.1.25. Únicamente quiero aplicar una política sobre la 192.168.1.24. Al aplicar lo que me comentas, cogería el rango entero, afectando también a la 192.168.1.25, cierto?

    Salu2.

    jueves, 6 de mayo de 2010 15:22
  • Hola,

    si es asi, te afectaria a todos los equipos con IP 192.168.1.X , asi que o aislas el equipo en una subnet aparte o habra que utilizar otros mecanismos.

    Porque quieres hacerlo por IP y no por nombre del equipo?

    Se me ocurre que en esa GPO puedes incluir un filtro WMI en el que verifiques la IP del equipo, he estado buscando un poco y parece ser que no acaban de funcionar correctamente los filtros WMI por IP aunque un usuario en un foro comenta que a el le funciono esta query para el filtro WMI

    select * from Win32_IP4RouteTable where Name like "X.X.X.X"

    si lo pruebas comentalo por aqui para dejar constancia de si funciona o no.

    Saludos!!

     

    jueves, 6 de mayo de 2010 17:29
    Moderador
  • Estoy de acuerdo con Pep ¿Por qué hacerlo por IP? ¿Cuál es el problema exáctamente, a ver si se nos ocurre otra solución.

    Un saludo

    Fernando Reyes [MS MVP]
    MCSA 2000/2003
    MCSE 2000/2003
    MCITP EnterpriseAdministrator
    Web: http://freyes.svetlian.com
    Blog: http://urpiano.wordpress.com
    RSS: http://urpiano.wordpress.com/feed/
    freyes.champú@champú.mvps.org
    (Aclárate la cabeza si quieres escribirme)
    viernes, 7 de mayo de 2010 7:51
    Moderador
  • Buenas Pep / Fernando:

       Tal vez carezca de argumentos mi petición, pero el motivo por el que no se hace por equipo (que sería lo más normal) sería por un problema con el DNS y tuviera que buscar por ip.

       Gracias. Salu2.!

    viernes, 7 de mayo de 2010 10:23
  •  

    Hola,

    creo que es mas facil solventar un problema de DNS que el de aplicacion de una GPO a un equipo con una IP especifica, aun y asi si te animas a probar el filtro WMI cuentanos el resultado si te funciono, y si quieres comentar el problema con el DNS tambien podemos intentar solucionarlo.


    Saludos!!

     

    viernes, 7 de mayo de 2010 10:28
    Moderador
  • Yo diría algo más. Si en un dominio tienes problemas con el DNS ¡¡A por ellos!! Es el esqueleto de Active Directory.

    Un saludo

    Fernando Reyes [MS MVP]
    MCSA 2000/2003
    MCSE 2000/2003
    MCITP EnterpriseAdministrator
    Web: http://freyes.svetlian.com
    Blog: http://urpiano.wordpress.com
    RSS: http://urpiano.wordpress.com/feed/
    freyes.champú@champú.mvps.org
    (Aclárate la cabeza si quieres escribirme)
    viernes, 7 de mayo de 2010 10:55
    Moderador
  • Gracias a ambos:

       Por sacarle "punta al lápiz". Si no hay sites, es decir. Está todo centralizado, en que política (ya que de Site no puede ser) podría aplicar ese filtro wMI?

     

    miércoles, 12 de mayo de 2010 0:57
  •  

    Hola,

    las directivas de dominio se aplican a nivel de Site, Dominio y  OU , yo la vincularia la la OU mas cercana a donde tengas la cuenta del equipo.

    Saludos


    MCTS: Windows Server 2008 Active Directory, Configuring
    miércoles, 12 de mayo de 2010 7:43
    Moderador
  • Si tienes problemas de DNS, olvídate de intentar crear políticas de grupo que toreen esos problemas, pues las propias políticas tendrán problemas. Es imprescindible que soluciones los problemas de DNS.

    Un saludo

    Fernando Reyes [MS MVP]
    MCSA 2000/2003
    MCSE 2000/2003
    MCITP EnterpriseAdministrator
    Web: http://freyes.svetlian.com
    Blog: http://urpiano.wordpress.com
    RSS: http://urpiano.wordpress.com/feed/
    freyes.champú@champú.mvps.org
    (Aclárate la cabeza si quieres escribirme)
    miércoles, 12 de mayo de 2010 10:30
    Moderador
  • No se si aun está vivo este hilo de conversación pero casa a la perfeccion con el asunto que me traigo entre manos.

    En mi caso, dispongo de una red con tres sedes ( Barcelona, Zaragoza y Madrid ) con sus OUs diferenciadas dentro del dominio y sus GPOs. Hasta aquí todo normal. El problema lo tengo cuando mis usuarios se desplazan de una sede a otra, dependiendo de en que sede esten, me interessa que la impresora que tienen por defecto en su sesión de Terminal Server en el servidor central de Barcelona, sea una de las de la sede en la que estan físicamente. Puede parecer una petición un poco tonta, pero nos ahorrariamos el que cada semana alguien de Madrid imprime por error en Barcelona o al inreves...

    Al no poder definir una política a la OU directamente, se me ocurrió que la forma de saber en que localización està un equipo cada vez es por la IP. ¿ Tiene sentido ?.

    Cuando el cliente se loga en el servidor TS, debería aplica una GPO con filtro WMI dependiendo de la IP que tenga el portátil des del que conecta el cliente... ¿ Como podria definir este filtro WMI ?

    Espero vuestras aportaciones, muchas gracias!

    viernes, 11 de mayo de 2012 9:15
  • Mira de aplicar GPOs por Site, a ver si te sirven para lo que necesitas.

    Saludos,

    Marc
    Microsoft Certified System Administrator 2003
    Microsoft Certified System Engineer 2003
    Microsoft Certified Solutions Associate 2008 Core
    Microsoft Certified IT Professional: Enterprise Administrator, Enterprise Messaging Administrator, Lync Server Administrator 2010
    MCC: Microsoft Community Contributor
    Citrix CCA
    Visita mi blog en ITPro.es
    MCP Virtual Bussines Card

    viernes, 11 de mayo de 2012 9:56
    Moderador