none
GPO de 2 servidores distintos!!?? RRS feed

  • Pregunta

  • Hola,

    Tengo un servidor con Windows 2003R2 EE que es controlador de dominio (tambien aloja Exchange 2003). En este tengo configurado a los usuarios dentro de una UO, y cogen las politicas sin problemas, menos cuando intento hacer un script de inicio/apagado, que no lo coge.

    Aparte, tengo un servidor con Windows 2008 al que estamos migrando a Exchange 2007, y hace de réplica de DA. Os cuento esto por que al hacer desde un equipo un GPRESULT me sale lo siguiente, es decir, que está cogiendo la configuración de equipo del Win2008 y la de usuario del Win2003 (el principal es el del 2003, que es el que aplica las GPO)

    Code Snippet

    Microsoft Windows XP [Versin 5.1.2600]

    (C) Copyright 1985-2001 Microsoft Corp.

    C:\Documents and Settings\tecnico>gpresult

    CONFIGURACIN DE EQUIPO

    ------------------------

        CN=PRUEBASFORMACIO,CN=Computers,DC=SUBDOMINIO,DC=DOMINIO,DC=es

        ltima vez que se aplic las Directivas de grupo16/12/2008 at 17:57:48

        Directivas de grupo aplicadas desde SERVIDORCONWINDOWS_2008.subdominio.dominio.es

        Umbral del vnculo lento de las Directivas de grupo500 kbps



        Objetos de directiva de grupo aplicados

        ----------------------------------------

            PoliticaPrueba



        Los objetos GPO siguientes no se aplicaron porque fueron filtrados

        -------------------------------------------------------------------

            Default Domain Policy

                Filtrar:  Deshabilitado (Vnculo)



            Directiva de grupo local

                Filtrar:  No aplicado (vaco)



        El equipo es miembro de los grupos de seguridad siguientes:

        -----------------------------------------------------------

            NULL SID

            NT AUTHORITY\NETWORK





    CONFIGURACIN DE USUARIO

    -------------------------

        CN=tecnico sin privilegios,OU=Usuarios,OU=EMPRESA,DC=subdominio,DC=dominio,DC=es

        ltima vez que se aplic las Directivas de grupo16/12/2008 at 17:59:36

        Directivas de grupo aplicadas desde SERVIDORCONWINDOWS_2003.subdominio.dominio.es

        Umbral del vnculo lento de las Directivas de grupo500 kbps



        Objetos de directiva de grupo aplicados

        ----------------------------------------

            Restricciones



        Los objetos GPO siguientes no se aplicaron porque fueron filtrados

        -------------------------------------------------------------------

            PoliticaPrueba

                Filtrar:  No aplicado (vaco)



            Directiva de grupo local

                Filtrar:  No aplicado (vaco)



        El usuario es parte de los siguientes Grupos de seguridad:

        ----------------------------------------------------------

            Usuarios del dominio

            Todos

            Administradores

            Usuarios

            NT AUTHORITY\INTERACTIVE

            Usuarios autentificados

            LOCAL

          
    Gracias por adelantado.

    Un saludo
    martes, 16 de diciembre de 2008 17:24

Respuestas

  • Hola jadelaguardia, lo que está haciendo es lo esperable. Otra cosa es lo que tu piensas

     

    Teniendo todos los usuarios en un OU, éstos tomarán todas las configuraciones de la GPO aplicada a esa OU pero sólo la parte de Configuración de Usuario.

    También puede ser que esté aplicando Configuración de Usuario de otras GPOs que estén en una OU de la cual "cuelgue" ésta, o inclusive de GPO del dominio.

     

    Para aplicar GPOs a máquinas, debes tener la GPO enlazada en la OU donde esté la cuenta de máquina (o en el dominio), y hacer los cambios en Configuración de equipo/máquina

     

    Dependiendo dónde esté enlazada la GPO, será el ámbito que afectará.

    Por omisión afecta al lugar donde la enlazas y todo lo que esté dentro de ese lugar (OU)

     

    El proceso de aplicación de GPOs es:

    - Inicia la máquina, se conecta al dominio y el controlador le informa qué GPOs debe aplicar, de acuerdo a la OU donde está la cuenta de máquina. De todas esas GPOs aplica la parte de configuración de equipo/maquina; y finalmente se ejecutan los scripts de inicio.

    - Cuando el usuario pone su nombre/contraseña, sucede algo análogo, pero se busca en las GPOs de acuerdo a dónde está la cuenta de usuario, y se aplica sólo la parte de Configuración de Usuario; finalmente se ejecutan los script de incio de sesión.

     

     

    martes, 16 de diciembre de 2008 19:16
    Moderador

Todas las respuestas

  • Hola jadelaguardia, lo que está haciendo es lo esperable. Otra cosa es lo que tu piensas

     

    Teniendo todos los usuarios en un OU, éstos tomarán todas las configuraciones de la GPO aplicada a esa OU pero sólo la parte de Configuración de Usuario.

    También puede ser que esté aplicando Configuración de Usuario de otras GPOs que estén en una OU de la cual "cuelgue" ésta, o inclusive de GPO del dominio.

     

    Para aplicar GPOs a máquinas, debes tener la GPO enlazada en la OU donde esté la cuenta de máquina (o en el dominio), y hacer los cambios en Configuración de equipo/máquina

     

    Dependiendo dónde esté enlazada la GPO, será el ámbito que afectará.

    Por omisión afecta al lugar donde la enlazas y todo lo que esté dentro de ese lugar (OU)

     

    El proceso de aplicación de GPOs es:

    - Inicia la máquina, se conecta al dominio y el controlador le informa qué GPOs debe aplicar, de acuerdo a la OU donde está la cuenta de máquina. De todas esas GPOs aplica la parte de configuración de equipo/maquina; y finalmente se ejecutan los scripts de inicio.

    - Cuando el usuario pone su nombre/contraseña, sucede algo análogo, pero se busca en las GPOs de acuerdo a dónde está la cuenta de usuario, y se aplica sólo la parte de Configuración de Usuario; finalmente se ejecutan los script de incio de sesión.

     

     

    martes, 16 de diciembre de 2008 19:16
    Moderador
  • Gracias por tu respuesta, ahora me queda más claro

    La verdad es que soy un poco novato en esto del directorio activo y GPOs, y tengo otra duda:

    Tengo todos los usuarios en una OU llamada Users. Dentro de esta, tengo otra llamada Admins, y tengo marcado que no herede las de arriba, por lo que si cambio algo a los users, no se aplica a los admins.

    El problema es que quiero evitar el uso de un programa a todos, menos a los admins y a 5 usuarios. La primera idea que tuve fue hacer lo mismo que con los admins: una nueva OU llamada programadores, y que no hereden, y así no les llega la restricción de software.

    El problema me viene ya que los programadores tambien son users, y se le debería aplicar las restricciones de users, menos la de evitar el software. De la forma que lo pienso, si cambio algo en Users, tendré que cambiar lo mismo en programadores, nO?

    Siento estas preguntas tan básicas Wink
    miércoles, 17 de diciembre de 2008 11:41
  • Si estás un poco novato con el tema, lo primero es leer un poco para aprender sobre el tema, te puedo asegurar que no sólo no es tiempo perdido sino que todo te llevará mucho menos tiempo y trabajo

     

    Lo primero a tener en cuenta es que "Users" (la carpeta creada por la instalación) NO es una unidad organizativa, sino que es un "contenedor con capacidades reducidas", y por lo tanto no le puedes enlazar GPOs directamente.

     

    Y otro comentario ¿para qué hacer las cosas complicadas si se puede hacer mucho más fácil?

     

    Crea las unidades organizativas que necesites, pero en lugar de estar cortando herencia o filtrando por permisos que es mucho más complicado, crea unidades organizativas independientes colgando directamente del dominio.

    Salvo que necesites la herencia.

     

    Una GPO puede estar enlazada a más de una unidad organizativa, y no trae ningún tipo de problema

     

    Resumiendo: 3 OUs colgando del dominio directamente, y le aplicas a cada una las GPOs que necesites

    miércoles, 17 de diciembre de 2008 12:06
    Moderador