none
aplicar gpo aplicando filtro de seguridad por grupo RRS feed

  • Pregunta

  • Quiero aplicar una política solamente a los equipos que es para activar bitlocker,.Tengo una OU o un contenedor en el cuál generé la política y filtré el grupo creado.  Ese grupo contiene los equipos (esos equipos estan ubicados en diferentes contenedores)

    Mi pregunta es si en ese contenedor deben estar esos equipos a los que debe aplicar o solamente con que esté el grupo, y así aplique la política o el contenedor puede estar vacío y através de la política se aplique.

    Tengo Windows 2008 R2.

    Actualmente solamente aplica la política con el filtro del grupo, pero el contenedor está vacío y en el equipo al aplicar un gpresult me aparece que es miembro del grupo pero no me hace nada.

    Gracias

    martes, 15 de noviembre de 2016 20:43

Respuestas

  • Guillermo muchas gracias por tu pronta respuesta.

    La opción que tengo es la siguiente:

    "- Enlazar la GPO un nivel arriba, inclusive el Dominio, pero filtrarla para que aplique solamente al grupo, quitando en los permisos "Authenticated users" y agreando al grupo con permisos de "Read" y "Apply group policy""

    OU TEST < y vinculé la gpo aplicada a equipos  por medio de un grupo, pero no me aplica la gpo.

    Mi duda es si en esta OU TEST debo meter los equipos, y no es lo que quiero sino lo que deseo es que no importa donde se ubiquen los equipos para no perder la estructura de mi árbol.

    En las url que me enviaste viene un ejemplo, pero el usuario y equipo están en la OU donde se aplica la gpo.

    gracias  saludos

    Sin importar lo que desees :) las directivas de grupo funcionan de determinada forma :)

    La GPO debe afectar a las máquinas / usuarios, independiente de su membresía en grupos. La palabra "Directiva de Grupo" en realidad es una traducción incorrecta, porque justamente da lugar a confusiones. Yo sostengo que hubiera sido mucho mejor algo así como "Objeto Conjunto de Directivas" u "Objeto Conjunto de Configuraciones" pero nada relacionado a "grupos", porque da para pensar que se aplica a grupos de Dominio, y no es así

    Si tienes los equipos distribuidos en diferentes Unidades Organizativas, y quieres que le aplique una GPO, entonces la única opción es enlazarla a nivel superior y filtrar por grupo de seguridad

    Los enlaces que puse antes, sobre todo el primero, es para que comprendas cómo funciona la aplicación de GPOs y no sólo soluciones este tema, sino que puedas aplicarlo a futuro

    Inclusive, y si me permites una sugerencia, la jerarquía de Unidades Organizativas debe hacerse en función de dos objetivos, ninguno de los cuales corresponde al organigrama organizativo o físico de la empresa

    Estos son: aplicación de GPOs, y delegación de tareas administrativas. Resumiendo, facilitar la administración

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    • Propuesto como respuesta Moderador M miércoles, 16 de noviembre de 2016 16:49
    • Marcado como respuesta güera_manzanita jueves, 17 de noviembre de 2016 15:56
    miércoles, 16 de noviembre de 2016 10:19
    Moderador

Todas las respuestas

  • Primero una diferencia importante a tener en cuenta: no es lo mismo un "Contenedor" como por ejemplo "Computers", y que están creados durante la instalación, que una Unidad Organizativa que es el único tipo que puede crear un administrador

    Para que aplique una GPO, tiene que estar enlazada en la Unidad Organizativa, una superior o inclusive el Dominio

    La membresía en grupos sólo se puede hacer para el filtrado de seguridad de aplicación

    Por ejemplo, si quieres que una GPO se aplique a un cierto grupo de equipos que están distribuidos en diferentes Unidades Organizativas, tienes dos posibilidades:

    - Mover los equipos a una Unidad Organizativa, y vincular la GPO a esa Unidad Organizativa

    - Enlazar la GPO un nivel arriba, inclusive el Dominio, pero filtrarla para que aplique solamente al grupo, quitando en los permisos "Authenticated users" y agreando al grupo con permisos de "Read" y "Apply group policy"

    Dejo unos enlaces por si te son útiles

    Cómo Funcionan las Directivas de Grupo (GPOs) | WindowServer:
    https://windowserver.wordpress.com/2011/02/10/como-funcionan-las-directivas-de-grupo-gpos/

    Directivas de Grupo (“Group Policy Objects”) – Optimización de ADM y ADMX | WindowServer:
    https://windowserver.wordpress.com/2014/07/07/directivas-de-grupo-group-policy-objects-optimizacin-de-adm-y-admx/

    Directivas de Grupo (GPO) – Herencia, Forzado y Resolución de Conflictos | WindowServer:
    https://windowserver.wordpress.com/2016/04/19/directivas-de-grupo-gpo-herencia-forzado-y-resolucin-de-conflictos/ 

    Directivas de Grupo (GPO) – Filtrado de Seguridad | WindowServer:
    https://windowserver.wordpress.com/2016/04/26/directivas-de-grupo-gpo-filtrado-de-seguridad/ 

    GPOs No Se Aplican (MS16-072 – KB3163622 y KB2919355) | WindowServer:
    https://windowserver.wordpress.com/2016/07/19/gpos-no-se-aplican-ms16-072-kb3163622-y-kb2919355/ 

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    martes, 15 de noviembre de 2016 20:54
    Moderador
  • Guillermo muchas gracias por tu pronta respuesta.

    La opción que tengo es la siguiente:

    "- Enlazar la GPO un nivel arriba, inclusive el Dominio, pero filtrarla para que aplique solamente al grupo, quitando en los permisos "Authenticated users" y agreando al grupo con permisos de "Read" y "Apply group policy""

    OU TEST < y vinculé la gpo aplicada a equipos  por medio de un grupo, pero no me aplica la gpo.

    Mi duda es si en esta OU TEST debo meter los equipos, y no es lo que quiero sino lo que deseo es que no importa donde se ubiquen los equipos para no perder la estructura de mi árbol.

    En las url que me enviaste viene un ejemplo, pero el usuario y equipo están en la OU donde se aplica la gpo.

    gracias  saludos

    martes, 15 de noviembre de 2016 22:20
  • Guillermo muchas gracias por tu pronta respuesta.

    La opción que tengo es la siguiente:

    "- Enlazar la GPO un nivel arriba, inclusive el Dominio, pero filtrarla para que aplique solamente al grupo, quitando en los permisos "Authenticated users" y agreando al grupo con permisos de "Read" y "Apply group policy""

    OU TEST < y vinculé la gpo aplicada a equipos  por medio de un grupo, pero no me aplica la gpo.

    Mi duda es si en esta OU TEST debo meter los equipos, y no es lo que quiero sino lo que deseo es que no importa donde se ubiquen los equipos para no perder la estructura de mi árbol.

    En las url que me enviaste viene un ejemplo, pero el usuario y equipo están en la OU donde se aplica la gpo.

    gracias  saludos

    Sin importar lo que desees :) las directivas de grupo funcionan de determinada forma :)

    La GPO debe afectar a las máquinas / usuarios, independiente de su membresía en grupos. La palabra "Directiva de Grupo" en realidad es una traducción incorrecta, porque justamente da lugar a confusiones. Yo sostengo que hubiera sido mucho mejor algo así como "Objeto Conjunto de Directivas" u "Objeto Conjunto de Configuraciones" pero nada relacionado a "grupos", porque da para pensar que se aplica a grupos de Dominio, y no es así

    Si tienes los equipos distribuidos en diferentes Unidades Organizativas, y quieres que le aplique una GPO, entonces la única opción es enlazarla a nivel superior y filtrar por grupo de seguridad

    Los enlaces que puse antes, sobre todo el primero, es para que comprendas cómo funciona la aplicación de GPOs y no sólo soluciones este tema, sino que puedas aplicarlo a futuro

    Inclusive, y si me permites una sugerencia, la jerarquía de Unidades Organizativas debe hacerse en función de dos objetivos, ninguno de los cuales corresponde al organigrama organizativo o físico de la empresa

    Estos son: aplicación de GPOs, y delegación de tareas administrativas. Resumiendo, facilitar la administración

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    • Propuesto como respuesta Moderador M miércoles, 16 de noviembre de 2016 16:49
    • Marcado como respuesta güera_manzanita jueves, 17 de noviembre de 2016 15:56
    miércoles, 16 de noviembre de 2016 10:19
    Moderador
  • Buen día Guillermo,

    Muchas gracias por la asesoría. Me sirvió mucho y lo apliqué y me funciona correctamente.

    Saludos

    jueves, 17 de noviembre de 2016 15:58
  • Me alegro :)

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    jueves, 17 de noviembre de 2016 16:59
    Moderador
  • Mi estimado, tenía el mismo problema y ahora mismo lo resolvi ingresando a los equipos al grupo de usuarios es decir tengo un grupo demo de solo usuarios y aquí mismo meti a los equipos de estos usuarios con esto logre aplicar una gpo de mapeo de unidades.

    Trate de hacerlo primero enlazando la gpo al dominio que abarca todas las UO, pero ni asi funciono.
    viernes, 11 de mayo de 2018 22:58