Principales respuestas
aplicar gpo aplicando filtro de seguridad por grupo

Pregunta
-
Quiero aplicar una política solamente a los equipos que es para activar bitlocker,.Tengo una OU o un contenedor en el cuál generé la política y filtré el grupo creado. Ese grupo contiene los equipos (esos equipos estan ubicados en diferentes contenedores)
Mi pregunta es si en ese contenedor deben estar esos equipos a los que debe aplicar o solamente con que esté el grupo, y así aplique la política o el contenedor puede estar vacío y através de la política se aplique.
Tengo Windows 2008 R2.
Actualmente solamente aplica la política con el filtro del grupo, pero el contenedor está vacío y en el equipo al aplicar un gpresult me aparece que es miembro del grupo pero no me hace nada.
Gracias
- Cambiado Guillermo Delprato []Moderator miércoles, 16 de noviembre de 2016 10:22
Respuestas
-
Guillermo muchas gracias por tu pronta respuesta.
La opción que tengo es la siguiente:
"- Enlazar la GPO un nivel arriba, inclusive el Dominio, pero filtrarla para que aplique solamente al grupo, quitando en los permisos "Authenticated users" y agreando al grupo con permisos de "Read" y "Apply group policy""
OU TEST < y vinculé la gpo aplicada a equipos por medio de un grupo, pero no me aplica la gpo.
Mi duda es si en esta OU TEST debo meter los equipos, y no es lo que quiero sino lo que deseo es que no importa donde se ubiquen los equipos para no perder la estructura de mi árbol.
En las url que me enviaste viene un ejemplo, pero el usuario y equipo están en la OU donde se aplica la gpo.
gracias saludos
Sin importar lo que desees :) las directivas de grupo funcionan de determinada forma :)
La GPO debe afectar a las máquinas / usuarios, independiente de su membresía en grupos. La palabra "Directiva de Grupo" en realidad es una traducción incorrecta, porque justamente da lugar a confusiones. Yo sostengo que hubiera sido mucho mejor algo así como "Objeto Conjunto de Directivas" u "Objeto Conjunto de Configuraciones" pero nada relacionado a "grupos", porque da para pensar que se aplica a grupos de Dominio, y no es así
Si tienes los equipos distribuidos en diferentes Unidades Organizativas, y quieres que le aplique una GPO, entonces la única opción es enlazarla a nivel superior y filtrar por grupo de seguridad
Los enlaces que puse antes, sobre todo el primero, es para que comprendas cómo funciona la aplicación de GPOs y no sólo soluciones este tema, sino que puedas aplicarlo a futuro
Inclusive, y si me permites una sugerencia, la jerarquía de Unidades Organizativas debe hacerse en función de dos objetivos, ninguno de los cuales corresponde al organigrama organizativo o físico de la empresa
Estos son: aplicación de GPOs, y delegación de tareas administrativas. Resumiendo, facilitar la administración
Guillermo Delprato
MVP - MCSE - MCSA2012
Buenos Aires, Argentina
El Blog de los paso a paso
MCITP: Enterprise Administrator / Server Administrator
MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration
Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.
- Propuesto como respuesta Moderador M miércoles, 16 de noviembre de 2016 16:49
- Marcado como respuesta güera_manzanita jueves, 17 de noviembre de 2016 15:56
Todas las respuestas
-
Primero una diferencia importante a tener en cuenta: no es lo mismo un "Contenedor" como por ejemplo "Computers", y que están creados durante la instalación, que una Unidad Organizativa que es el único tipo que puede crear un administrador
Para que aplique una GPO, tiene que estar enlazada en la Unidad Organizativa, una superior o inclusive el Dominio
La membresía en grupos sólo se puede hacer para el filtrado de seguridad de aplicación
Por ejemplo, si quieres que una GPO se aplique a un cierto grupo de equipos que están distribuidos en diferentes Unidades Organizativas, tienes dos posibilidades:
- Mover los equipos a una Unidad Organizativa, y vincular la GPO a esa Unidad Organizativa
- Enlazar la GPO un nivel arriba, inclusive el Dominio, pero filtrarla para que aplique solamente al grupo, quitando en los permisos "Authenticated users" y agreando al grupo con permisos de "Read" y "Apply group policy"
Dejo unos enlaces por si te son útiles
Cómo Funcionan las Directivas de Grupo (GPOs) | WindowServer:
https://windowserver.wordpress.com/2011/02/10/como-funcionan-las-directivas-de-grupo-gpos/Directivas de Grupo (“Group Policy Objects”) – Optimización de ADM y ADMX | WindowServer:
https://windowserver.wordpress.com/2014/07/07/directivas-de-grupo-group-policy-objects-optimizacin-de-adm-y-admx/Directivas de Grupo (GPO) – Herencia, Forzado y Resolución de Conflictos | WindowServer:
https://windowserver.wordpress.com/2016/04/19/directivas-de-grupo-gpo-herencia-forzado-y-resolucin-de-conflictos/Directivas de Grupo (GPO) – Filtrado de Seguridad | WindowServer:
https://windowserver.wordpress.com/2016/04/26/directivas-de-grupo-gpo-filtrado-de-seguridad/GPOs No Se Aplican (MS16-072 – KB3163622 y KB2919355) | WindowServer:
https://windowserver.wordpress.com/2016/07/19/gpos-no-se-aplican-ms16-072-kb3163622-y-kb2919355/Guillermo Delprato
MVP - MCSE - MCSA2012
Buenos Aires, Argentina
El Blog de los paso a paso
MCITP: Enterprise Administrator / Server Administrator
MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration
Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.
-
Guillermo muchas gracias por tu pronta respuesta.
La opción que tengo es la siguiente:
"- Enlazar la GPO un nivel arriba, inclusive el Dominio, pero filtrarla para que aplique solamente al grupo, quitando en los permisos "Authenticated users" y agreando al grupo con permisos de "Read" y "Apply group policy""
OU TEST < y vinculé la gpo aplicada a equipos por medio de un grupo, pero no me aplica la gpo.
Mi duda es si en esta OU TEST debo meter los equipos, y no es lo que quiero sino lo que deseo es que no importa donde se ubiquen los equipos para no perder la estructura de mi árbol.
En las url que me enviaste viene un ejemplo, pero el usuario y equipo están en la OU donde se aplica la gpo.
gracias saludos
-
Guillermo muchas gracias por tu pronta respuesta.
La opción que tengo es la siguiente:
"- Enlazar la GPO un nivel arriba, inclusive el Dominio, pero filtrarla para que aplique solamente al grupo, quitando en los permisos "Authenticated users" y agreando al grupo con permisos de "Read" y "Apply group policy""
OU TEST < y vinculé la gpo aplicada a equipos por medio de un grupo, pero no me aplica la gpo.
Mi duda es si en esta OU TEST debo meter los equipos, y no es lo que quiero sino lo que deseo es que no importa donde se ubiquen los equipos para no perder la estructura de mi árbol.
En las url que me enviaste viene un ejemplo, pero el usuario y equipo están en la OU donde se aplica la gpo.
gracias saludos
Sin importar lo que desees :) las directivas de grupo funcionan de determinada forma :)
La GPO debe afectar a las máquinas / usuarios, independiente de su membresía en grupos. La palabra "Directiva de Grupo" en realidad es una traducción incorrecta, porque justamente da lugar a confusiones. Yo sostengo que hubiera sido mucho mejor algo así como "Objeto Conjunto de Directivas" u "Objeto Conjunto de Configuraciones" pero nada relacionado a "grupos", porque da para pensar que se aplica a grupos de Dominio, y no es así
Si tienes los equipos distribuidos en diferentes Unidades Organizativas, y quieres que le aplique una GPO, entonces la única opción es enlazarla a nivel superior y filtrar por grupo de seguridad
Los enlaces que puse antes, sobre todo el primero, es para que comprendas cómo funciona la aplicación de GPOs y no sólo soluciones este tema, sino que puedas aplicarlo a futuro
Inclusive, y si me permites una sugerencia, la jerarquía de Unidades Organizativas debe hacerse en función de dos objetivos, ninguno de los cuales corresponde al organigrama organizativo o físico de la empresa
Estos son: aplicación de GPOs, y delegación de tareas administrativas. Resumiendo, facilitar la administración
Guillermo Delprato
MVP - MCSE - MCSA2012
Buenos Aires, Argentina
El Blog de los paso a paso
MCITP: Enterprise Administrator / Server Administrator
MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration
Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.
- Propuesto como respuesta Moderador M miércoles, 16 de noviembre de 2016 16:49
- Marcado como respuesta güera_manzanita jueves, 17 de noviembre de 2016 15:56
-
-
Me alegro :)
Guillermo Delprato
MVP - MCSE - MCSA2012
Buenos Aires, Argentina
El Blog de los paso a paso
MCITP: Enterprise Administrator / Server Administrator
MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration
Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.
-
Mi estimado, tenía el mismo problema y ahora mismo lo resolvi ingresando a los equipos al grupo de usuarios es decir tengo un grupo demo de solo usuarios y aquí mismo meti a los equipos de estos usuarios con esto logre aplicar una gpo de mapeo de unidades.
Trate de hacerlo primero enlazando la gpo al dominio que abarca todas las UO, pero ni asi funciono.