none
Como puedo deshabilitar temporalmente una GPO mediante un VBS script RRS feed

  • Pregunta

  • Hola a todos:

    Soy nuevo en este foro. Tengo una pequeña pregunta. Sucede que tengo 10 redes, cada uno con win2003 servidor como controlador de dominio independiente. En cada red existen una persona de apoyo técnico. Cada dominio tiene GPOs muy estrictas. Para que el técnico puede dar apoyo es necesario que yo desactive las GPO, pero no estoy siempre presente para hacerlo. Me gustaría saber si existe un VBS que pueda desactivar temporalmente una GPO especifica por un tiempo determinado.
    viernes, 9 de julio de 2010 23:12

Respuestas

  • Para nada es sacrílego :-)

    Personalmente yo buscaría otra forma de encarar el problema; primero por una limitación mía con los scripts vbs ;-); pero además por otro tema: hay configuraciones que permanecerán aunque se desvincule la GPO (resilientes)

    Una aclaración si vienes de Novell, ten cuidado que hay cosas que se llaman igual, pero son diferentes: el perfil es la configuración personalizada del usuario, que no tiene que ver con permisos, que Novell llamaba derechos, y que en Microsoft son otra cosa :-)

    Si hubiera un script, seguramente lo encontrarás, o tendrás los elementos para hacerlo buscando en
    http://technet.microsoft.com/en-us/scriptcenter/default.aspx

    Yo me inclinaría más a usar un grupo al que no lo afecten las restricciones críticas y que el soporte haga uso de una cuenta en dicho grupo.
    O también, si tiene que estar en la sesión del usuario, ejecutar comando utilizando la función "Ejecutar como" (RunAs)

     


    Guillermo Delprato - MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration --- Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos. --- Buenos Aires, Argentina
    lunes, 12 de julio de 2010 10:39
    Moderador
  • Las GPOs no son scripts :-)

    Por si te sirve de ayuda las GPOs son procesadas en el cliente por algo llamado Client Side Extensions (CSEs) y cada uno procesa una parte de la GPO, si no me falla la memoria son DLLs

     


    Guillermo Delprato - MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration --- Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos. --- Buenos Aires, Argentina
    miércoles, 14 de julio de 2010 20:33
    Moderador

Todas las respuestas

  • Hola Nikeloto ¿no sería mucho más fácil excluir a esta persona de la aplicación de la GPO?

    Normalmente el personal de soporte técnico, pertence al grupo *local* Administradores, y se le excluye en las GPOs más restrictivas.

    Si dieras más datos quizás se pueda colaborar más.

     


    Guillermo Delprato - MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration --- Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos. --- Buenos Aires, Argentina
    sábado, 10 de julio de 2010 10:45
    Moderador
  • Primero que todo muchas gracias por tu respuesta… Te cuento un poco mas.

    No sé si voy a cometer un sacrilegio por ser este un foro Microsoft pero, a diferencia de redes basadas en Novell que cuando un personal de soporte necesita hacer un trabajo en el perfil local del usuario, el soporte se logea en la red y le cambia las políticas y permisos al perfil local para poder hacer su trabajo y luego se logea el usuario y terminado el trabajo. En nuestro caso, la gran mayoría de las veces el soporte debe trabajar sobre el perfil del usuario y obviamente, las políticas que restringen al usuario, también restringen al soporte.

    Analizando tu comentario de que los usuarios están en el perfil local de administradores pues te cuento que hasta los usuarios están como administradores locales pero las restricciones que tengo es nivel del dominio. Por ejemplo: controlo el ejecutar, navegar en internet, cambiar las propiedades del escritorio, MiPC y otras muchas…

    Mas o menos esta es la situación. Según tu experiencia que me podrías recomendar si dado el caso lo del VBS no se pueda!!!

    sábado, 10 de julio de 2010 17:05
  • Para nada es sacrílego :-)

    Personalmente yo buscaría otra forma de encarar el problema; primero por una limitación mía con los scripts vbs ;-); pero además por otro tema: hay configuraciones que permanecerán aunque se desvincule la GPO (resilientes)

    Una aclaración si vienes de Novell, ten cuidado que hay cosas que se llaman igual, pero son diferentes: el perfil es la configuración personalizada del usuario, que no tiene que ver con permisos, que Novell llamaba derechos, y que en Microsoft son otra cosa :-)

    Si hubiera un script, seguramente lo encontrarás, o tendrás los elementos para hacerlo buscando en
    http://technet.microsoft.com/en-us/scriptcenter/default.aspx

    Yo me inclinaría más a usar un grupo al que no lo afecten las restricciones críticas y que el soporte haga uso de una cuenta en dicho grupo.
    O también, si tiene que estar en la sesión del usuario, ejecutar comando utilizando la función "Ejecutar como" (RunAs)

     


    Guillermo Delprato - MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration --- Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos. --- Buenos Aires, Argentina
    lunes, 12 de julio de 2010 10:39
    Moderador
  • ok... Es tal vez una de las dificultades que he encontrado al conocer un poco mas de Novell que de WinServer. No sé si es mucho pedir (o es un sacrilegio) pero me gustaría tener una sesion de chat con usted para ver si es un poco mas facil su util asesoría.
    lunes, 12 de julio de 2010 13:44
  • Aunque no parezca verdad, es más difícil para el que conoce el tema porque tiende a extrapolar los conocimientos de uno en otro sistema, y por supuesto no todo es igual. Hay diferentes "filosofías de diseño"

    No es ningún sacrilegio, pero no hago chats de soporte. El estar por estos foros, es sólo cuando puedo colaborar sin ningún otro interés y en los momentos que me deja libre mi ocupación diaria.

     

     


    Guillermo Delprato - MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration --- Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos. --- Buenos Aires, Argentina
    lunes, 12 de julio de 2010 19:21
    Moderador
  • No creo que ningún script te permita deshabilitar la aplicación de políticas. Yo miraría lo que dice Guillermo de utilizar RunAs, si es necesario que el técnico esté logado con el usuario del equipo, o si no tener configuradas las políticas de manera que no afecten a los técnicos.

    Para el tema de RunAs:

    Por favor, no inicies sesión como administrador, utiliza RunAs
    http://freyes.svetlian.com/RunAs/RunAs.htm


    Un saludo

    Fernando Reyes [MS MVP]
    MCSA 2000/2003
    MCSE 2000/2003
    MCITP EnterpriseAdministrator
    Web: http://freyes.svetlian.com
    Blog: http://urpiano.wordpress.com
    RSS: http://urpiano.wordpress.com/feed/
    freyes.champú@champú.mvps.org
    (Aclárate la cabeza si quieres escribirme)
    martes, 13 de julio de 2010 8:49
    Moderador
  • Gracias por su interés Fernando pero desafortunadamente el diseño actual de la red no fue mía sino del anterior administrador y él lo puso todos los perfiles de usuarios locales fuesen administradores. Llegó hasta tal punto que muchos de los usuarios eran hasta administradores del dominio cosa que he ido corrigiendo poco a poco. Los equipos son POS y tienen configurado su software. Los equipos se logean automáticamente a la red y aplica unas políticas muy restrictivas como ver el panel de control, configurar pantalla, comando ejecutar, click derecho, propiedades de conexión... en fin muchas restricciones que si bien me dificulta el soporte de esos equipos me han ayudado a que las maquinas mantengan muy estables.

    Yo entiendo el Ejecutar Como y aunque no lo es practicado me he documentado para entenderlo pero no creo que esto me sirva para el caso de poder ingresar al panel de control, configuración de la red entre otros

    Me gustaría escuchar sugerencias teniendo en cuenta lo anterior!!

    martes, 13 de julio de 2010 17:22
  • Ahhh ok... muchas gracias por brindarnos su tiempo!!! Continuando entonces acabé de escribir algo dirigido a Fernando. Si no es mucha la molesia lealo y estaré atento a sus respuestas y sugerencias!!!
    martes, 13 de julio de 2010 17:25
  • Nikeloto, quizás conociendo más lo que específicamente necesita hacer el soporte, y qué configuración es la que se lo impide, se pueda ayudar un poco más.

    Si puedes, plantea un caso que típicamente afecte y vemos si se puede solucionar. Porque en forma genérica va a ser difícil.

    Y de todas formas no va a ser fácil. Cuando uno adopta un sistema, como Windows en este caso, debería seguir algunas pautas y recomendaciones del que lo hace. Windows es muy flexible en muchos aspectos pero no en otros.
    Eso que son administradores, pero están limitados, es una inconsistencia.

     


    Guillermo Delprato - MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration --- Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos. --- Buenos Aires, Argentina
    martes, 13 de julio de 2010 20:50
    Moderador
  • Holass... Sigo aqui solo que estoy verficando las cosas que se hacen importantes para el soporte. He estado pensando... Las politicas son scrips internos que se ejecutan y modifican las politicas internas de la maquina local (gpedit.msc). No existirá la forma que, ejecutando algo, las politicas se reestablescan mientras hasta que se reinicie la maquina???
    miércoles, 14 de julio de 2010 18:36
  • Las GPOs no son scripts :-)

    Por si te sirve de ayuda las GPOs son procesadas en el cliente por algo llamado Client Side Extensions (CSEs) y cada uno procesa una parte de la GPO, si no me falla la memoria son DLLs

     


    Guillermo Delprato - MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration --- Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos. --- Buenos Aires, Argentina
    miércoles, 14 de julio de 2010 20:33
    Moderador