none
Ejecucion GPO en Ad RRS feed

  • Pregunta

  • Buenos dias,

    Tengo el siguiente caso,

    Tengo una UO en la cual estan 2 usuarios, uno llamado pepe y otro jose, bien.

    Tengo creadas 2 GPO una deniega acceso extraible a todo y la otra lo permite.

    La idea es que Jose pueda acceder a usb extraibles y pepe no.

    Con el siguiente orden, estas 2 gpo cuelgan de la misma OU donde estan los usuarios (GPO que aplica a nivel usuario)

    La primera GPO_BLOCKUSB esta en orden 1 y filtro de seguridad aplicar "usuarios autenticados"

    La segunda GPO_PERMITIRUSB esta en orden 2 y filtro  de seguridad aplicar "GRUPO_PERMITIRUSB" (En este grupo esta el usuario Jose)

    No me funciona, y me voy a la herramienta de Manager de GPO para hacer un resultado de la GPO

    Me sale esto

    La GPO --> GPO PERMITIRUSB me sale denegada

    Causa denegada   Acceso denegado (filtrado de seguridad)

    ¿Como puedo solucionar este problema?

    miércoles, 2 de marzo de 2016 10:56

Respuestas

  • En ese caso que tomas no queda más remedio que filtrado de seguridad

    Creas una GPO sólo con la denegación y creas un grupo Global con los usuarios que sí deben poder

    En la seguridad de la GPO, le pones el permiso "Deny Apply Group Policy" al grupo

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    • Propuesto como respuesta Moderador M martes, 8 de marzo de 2016 3:01
    • Marcado como respuesta Moderador M lunes, 14 de marzo de 2016 19:20
    lunes, 7 de marzo de 2016 11:42
    Moderador

Todas las respuestas

  • Hola Mario Jesus MK, para que no aplique una GPO a un determinado usuario o grupo que recibe la GPO, lo normal es que dicha cuenta tenga específicamente el permiso "Deny Apply Group Policy"

    Pero, como comentario y no lo tomes a mal, es usar la estructura de Unidades Organizativas y GPOs con el objetivo que han sido diseñadas: La jerarquía de Unidades Organizativas tiene dos objetivos:

    - Facilitar la aplicación de GPOs

    - Facilitar la delegación de administración

    En tu caso, es obvio que lo conveniente son dos Unidades Organizativas, cada una conteniendo sus usuarios y cada una con una GPO diferente aplicada

    La aplicación de una GPO o su filtrado tiene varias alternativas, no sólo los permisos, pero siempre hay que tratar de usar el método más simple, pues eso va a ayudar mucho más adelante cuando se amplíe o en caso de tener que resolver problemas

    Los filtrados de GPOs, sin entrar en detalles pueden ser por:

    - Bloquear herencia
    - Forzado
    - Filtros WMI
    - Filtrado de seguridad (permisos)
    - Aplicación de bucle inverso

    Siempre hay que buscar el método más sencillo, y tratar de aprovechar los objetivos con los que el sistema fue pensado

    Por si te sirve, revisa este enlace: Cómo Funcionan las Directivas de Grupo (GPOs) | WindowServer
    https://windowserver.wordpress.com/2011/02/10/como-funcionan-las-directivas-de-grupo-gpos/

      


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    • Propuesto como respuesta Moderador M jueves, 3 de marzo de 2016 16:52
    miércoles, 2 de marzo de 2016 11:14
    Moderador
  • Hola Guillermo, gracias por tu respuesta.

    El caso es el siguiente

    Tengo una OU general, llamada DEPARTAMENTOS, dentro de ella salen otras OU (FINANCIERO, RRHH, ADMINISTRACION, etc) el ahora si que me esta funcionando pero no se si aplica siempre la gpo mas restrictiva

    Dentro de OU DEPARTAMENTOS tengo una GPO que deniega acceso a almacenamiento extraible por defecto.

    El caso es, en cada OU (financiero por ejemplo) hay una serie de personas, que si que requieren acceder a un pen drive por ejemplo y otras no.

    He creado dentro de esa OU (financiero) la misma regla GPO que en raiz, pero en vez de habilitando, denegando, y que el grupo que aplique sea, GRUPOUSUARIOS_USB_OK

    Pero no me esta funciondo aunque si que aplica la GPO, ahora ya no hay permisos denegados ni nada.

    viernes, 4 de marzo de 2016 11:44
  • Hay varias soluciones posibles, pero para poder darte la mejor necesito me respondas una pregunta

    ¿Los usuarios que tienen que poder acceder están todos en la misma OU? ¿O en diferentes OUs?

    Porque si son los usuarios de una OU, o de varias OUs, pero todos los usuarios contenidos en cada una, simplemente debajo de Departamentos, creas dos OUs, "ConAcceso" y "SinAcceso" y pones cada departamento debajo de OU que sea

    Quizás lo que tengas que replantearte es la jerarquía de OUs que haz creado sirve para su objetivo. El objetivo de crear OUs, es para facilitar la administración con dos opciones a vista: delegación de permisos, y aplicación de GPOs. Y muy importante, no tienen porqué coincidir con la organización de la empresa

    [Edito] Me faltó aclarar. Si los usuarios con acceso están en diferentes OUs, entonces sí, hay que aplicar filtrado de seguridad. Si fuera así, dime y comento cómo asignar los permisos de la GPO

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.


    viernes, 4 de marzo de 2016 14:57
    Moderador
  • Buenos dias  Guillermo, como siempre gracais por responder.

    Efectivamente, los usuarios están organizado por departamentos, cada departamento una OU.

    Sobre tu pregunta, los usuarios con accesos están en diferentes OU.

    Tomo nota tus indicaciones sobre diseño de las OU.

    Gracias!!


    lunes, 7 de marzo de 2016 10:09
  • En ese caso que tomas no queda más remedio que filtrado de seguridad

    Creas una GPO sólo con la denegación y creas un grupo Global con los usuarios que sí deben poder

    En la seguridad de la GPO, le pones el permiso "Deny Apply Group Policy" al grupo

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    • Propuesto como respuesta Moderador M martes, 8 de marzo de 2016 3:01
    • Marcado como respuesta Moderador M lunes, 14 de marzo de 2016 19:20
    lunes, 7 de marzo de 2016 11:42
    Moderador