none
Aplicar GPO a Grupo de Seguridad RRS feed

  • Pregunta

  • Buenos días,

    Necesito realizar una instalación de impresoras por GPO a usuarios de distintas OUs ya que tienen movilidad. Para ello había pensado agregar a nivel de dominio una GPO y aplicar esta a grupos de seguridad con los usuarios implicados, para poder hacer más agil la administración de los usuarios desde el propio grupo.

    Pero me encuentro con el problema que no aplica a los usuarios del grupo, sin embargo si introduzco directamente en el filtro de seguridad al usuario de dominio sí.

    Supongo que algo estoy pasando por alto, para hacer que funcione esta estrategía.

    miércoles, 9 de marzo de 2016 12:02

Respuestas

  • Aparentemente por los permisos está todo bien, así que vamos por otro lado :)

    Luego de agregar el usuario al grupo en cuestión ¿haz cerrado y vuelto abrir sesión con el mismo? porque el "Access Token" (credenciales de acceso) se actualizan únicamente cuando inicia sesión. Y a veces, por el uso de "cached credentials" puede llevar más de un inicio de sesión

    Para comprobarlo, luego de iniciar sesión con el usuario ejecuta desde CMD: "WhoAmI /Groups". Este comando permite ver los grupos a los que pertence el usuario

    Y otra posibilidad más ¿es una impresora de red o local?

    Por si te sirve te dejo un enlace con la forma en que lo hago yo :)

    Instalando Impresoras por Directivas de Grupo (GPOs) | WindowServer:
    https://windowserver.wordpress.com/2015/12/15/instalando-impresoras-por-directivas-de-grupo-gpos/ 

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    • Propuesto como respuesta Moderador M jueves, 10 de marzo de 2016 16:34
    • Marcado como respuesta Moderador M miércoles, 16 de marzo de 2016 20:45
    miércoles, 9 de marzo de 2016 16:35
    Moderador

Todas las respuestas

  • Hola NeBuR_IT, las GPOs se aplican de acuerdo a donde está la cuenta, no a grupos, aunque la traducción al español que han hecho no es buena 😩

    Para que se aplique a grupos no hay más remedio que usar filtros de seguridad

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    miércoles, 9 de marzo de 2016 12:18
    Moderador
  • Yo tengo la política creada a nivel de dominio. Entonces entiendo que aplicaría a todas las cuentas de usuario del dominio. Y en el filtrado de seguridad, agrego un Grupo de Seguridad con varios usuarios, pero no les aplica. Sin embargo quito este grupo y agrego directamente el usuario de dominio en el filtrado de seguridad y entonces, al menos si que aparece en el gpresult.
    miércoles, 9 de marzo de 2016 12:41
  • Depende de que lo estés haciendo por máquina o por usuario, cambia el grupo pero el proceso es el mismo

    Crea un grupo Global de seguridad con las cuentas a las que quieres que le aplique la GPO

    Crea la GPO y vincúlala al lugar más alto que contenga las cuentas, puede ser el Dominio

    En la seguridad de la GPO, no del enlace ni del Dominio, elimina al grupo "Usuarios autentificados" y agrega al grupo que haz creado antes, y asegúrate que tenga permitidos Lectura, y Aplicar la directiva

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    miércoles, 9 de marzo de 2016 13:23
    Moderador
  • Muchas gracias Guillermo por tus respuestas.

    Creo que lo que me comentas, es lo que yo hago exactamente, pero no entiendo porque no aplica. Las configuraciones son por usuario, concretamente implementación de impresoras como comentaba al principio, pero no consigo que aplique, sin entender el motivo.

    Lo único decir, es que es AD nivel 2003, por si esto pudiera ser causa de esto, aunque entiendo que no.

    Leyendo tus comentarios...entiendo que se puede hacer y seguiré haciendo pruebas a ver si doy con el error que seguro que se tratará de algún punto que no estoy teniendo en cuenta.

    Mi única pregunta es si necesitaba estár el grupo de seguridad en la misma OU que los usuarios, aunque entiendo que no, porque la causa de esta configuración es precisamente porque necesito aplicar esta configuración de impresora a usuarios de diferentes OUs.

    miércoles, 9 de marzo de 2016 14:34
  • Si te sirve de pista, el error que me devuelve el gpresult, es que no se aplica por el filtro seguridad (denegado).

    Pero este usuario está incluido en el grupo de seguridad creado y el grupo tiene permisos de lectura y aplicación de GPO.

    miércoles, 9 de marzo de 2016 15:06
  • ¿No habrás puesto denegar al grupo usuarios autentificados?

    Porque una denegación prevalece ante cualquier permitido

    Tienes que quitar al grupo Usuarios Autentificados, no denegarle

    En todo caso, pega una captura de pantalla donde se vean todos los permisos de la GPO, o escríbelos si no te deja poner imágenes

    [Edito] O pon la imagen en algún repositorio público de forma de poder verla

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.


    miércoles, 9 de marzo de 2016 15:32
    Moderador
  • Eso he pensado yo, y he quitado incluso el grupo usuarios autenticados que se había quedado de desmarcado completamente.

    Ahora mismo lo tengo así:

    Implementación de impresora por usuario en la GPO que se encuentra en la OU raíz donde se encuentran todas las OUs inferiores de las delegaciones y todos los usuarios y equipos debajo de la misma.

    Este es el mensaje del gpresult del usuario que esta includio en el grupo.

    miércoles, 9 de marzo de 2016 16:09
  • Aparentemente por los permisos está todo bien, así que vamos por otro lado :)

    Luego de agregar el usuario al grupo en cuestión ¿haz cerrado y vuelto abrir sesión con el mismo? porque el "Access Token" (credenciales de acceso) se actualizan únicamente cuando inicia sesión. Y a veces, por el uso de "cached credentials" puede llevar más de un inicio de sesión

    Para comprobarlo, luego de iniciar sesión con el usuario ejecuta desde CMD: "WhoAmI /Groups". Este comando permite ver los grupos a los que pertence el usuario

    Y otra posibilidad más ¿es una impresora de red o local?

    Por si te sirve te dejo un enlace con la forma en que lo hago yo :)

    Instalando Impresoras por Directivas de Grupo (GPOs) | WindowServer:
    https://windowserver.wordpress.com/2015/12/15/instalando-impresoras-por-directivas-de-grupo-gpos/ 

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    • Propuesto como respuesta Moderador M jueves, 10 de marzo de 2016 16:34
    • Marcado como respuesta Moderador M miércoles, 16 de marzo de 2016 20:45
    miércoles, 9 de marzo de 2016 16:35
    Moderador
  • Buenas tardes,

    Supongo que años después se te resolvería el problema, pero por si le sirve a alguien que entre aquí buscando la solución, os comento cual creo puede ser el problema y la solución.

    Seguramente al quitarle del filtrado de seguridad el grupo de usuarios autenticados y agregar el grupo de seguridad donde se encuentra el usuario, con toda probabilidad este dando algún error de acceso de lectura denegado la cuenta de equipo. Si añades en la parte de seguridad el grupo de seguridad de usuarios autenticados solo con permisos de lectura, no de aplicar directiva, se resuelva el problema y ya te funcionaría la directiva.

    lunes, 13 de abril de 2020 12:08
  • Hola GregorFH

     

    Gracias por tu respuesta en los foros de TechNet. Te comunico que este hilo pasará a estar cerrado debido a la antigüedad que tiene. Si deseas formular una pregunta o consulta similar a esta o una nueva, abre un nuevo hilo por favor.

     

    Igualmente, te agradecemos mucho tu respuesta y colaboración

     

    Cualquier duda referente a productos Microsoft, puedes consultarnos. Es un gusto informarte.

    Gracias por usar los foros de TechNet.

     

     

    Miguel Mosquera

     

    --------------------------------------------------------------------------

     

    Por favor recuerde "Marcar como respuesta" las respuestas que hayan resuelto su problema, es una forma común de reconocer a aquellos que han ayudado, y hace que sea más fácil para los otros visitantes encontrar la solución más tarde. 

     

    Microsoft ofrece este servicio de forma gratuita, con la finalidad de ayudar a los usuarios y la ampliación de la base de datos de conocimientos relacionados con los productos y tecnologías de Microsoft.  

     

    Este contenido es proporcionado "tal cual" y no implica ninguna responsabilidad de parte de Microsoft.

    lunes, 13 de abril de 2020 14:15
    Moderador