none
Aplicar GPO a usuarios RRS feed

  • Pregunta

  • Hola, tengo un problemilla al aplicar una politigca de Grupo a usuarios en particular el caso es el siguiente:

    Tengo un servidor con Active Directory Windows 2008 y tengo que crear dos politicas de grupo una para los usuairos de produccion en la cual no puedan entrar a navegar en internet, pero si tengan accesoa internet para el correo electronico, ya deshabilite el internet explorer pero si en la barra de Mi PC ponen www.google.com, navegan perfectamente, entonces ¿Como puedo quitar esto?.

    La otra es que no puedan utilizar USB o discos duros externos, estos solo pueden ser utilizados por el administrador el cual obviamente no esta incluido en la GPO, pero ya cree las politicas pero no se aplican, ya apague el equipo y reinicie, uni la PC al dominio y cree nuevamente el perfil del usuario en la PC local pero aun asi no se aplican los cambios.

    ¿Como puedo aplicarlos?

    Gracias

    jueves, 28 de febrero de 2013 15:42

Respuestas

  • Hola GualbertoMX!

    Vayamos por partes :)

    En relación a la Restricción de Internet, estimo que estás por el camino equivocado. Si bien con mucho esfuerzo podrías lograr algún tipo de efecto "simil", las restricciones de navegación y conectividad las deberías manejar a través de un Firewall / Proxy como TMG o simil. De esta forma lograrías permitir, denegar o restringir las navegaciones y los destinos de navegación.

    En relación a la Restricción para la utilización de unidades extraibles a través de USB, tenés la posibilidad de usar GPOs a través de políticas de Equipo y políticas de Usuario:

    Políticas de Equipo: Computer Configuration / Administrative Templates / System / Removable Storage Access.

    Estas opciones impactan a nivel Equipo (OUs con los equipos).

    Políticas de Usuario: UserConfiguration / Administrative Templates / System / Removable Storage Access.

    Estas opciones impactan a nivel Usuario(OUs con los usuarios).

    La decisión de usar una u otra (equipo o usuario) dependerá de las necesidades de tu empresa. Si elegís configurar las opciones a nivel equipo, impactará en cualquier usuario que se loguee. Si elegís configurar las opciones a nivel usuario, seguirá a dicho usuario por cualquier equipo de la red.

    Un item importante a remarcar es que muchas de las políticas disponibles a nivel equipo tienen prioridad por sobre las opciones indivisuales por usuario. Revisá cada opción en detalle.

    Saludos!!


    Pablo Ariel Di Loreto
    IT Consultant

    This posting is provided "AS IS" with no warranties and confers no rights! Always test ANY suggestion in a test environment before implementing!

    sábado, 2 de marzo de 2013 22:11
  • Hola Gualber!

    Ante todo, disculpas por la demora en responder! Sería interesante si nos podés contar la versión de los clientes Windows que tenés en tu infraestructura. Verificá que casi todas estas políticas requieren de Windows Vista o superior, y en algunos casos Windows 7 o superior. Puedo suponer que por aquí viene tu problema.

    En el caso que tengas Windows XP y necesites lograr el mismo efecto, verificá la siguiente nota de Microsoft:

    Ahora bien, si la no aplicación la estas teniendo sobre equipos Windows Vista / 7, deberías revisar lo siguiente:

    1. Si es una política de equipo, que los equipos estén dentro de la OU a la cual estás haciendo link de la política.
    2. Si es una política de usuario, idem al anterior pero asegurandote que los usuarios estén dentro de la OU.

    Si has verificado los anteriores dos items, nos queda como alternativa que saques un resultante de políticas desde un equipo cliente a través del siguiente comando a través de un CMD (recordá, en el equipo cliente!):

    gpresult /h xxx.html
    donde "xxx.html" será el archivo que genere el comando, y podrás analizar qué políticas se están aplicando y cuales no. Tendrás una punta posiblemente para descubrir el problema que estás teniendo.

    Esperamos tu feedback!!

    Saludos!!


    Pablo Ariel Di Loreto
    IT Consultant

    This posting is provided "AS IS" with no warranties and confers no rights! Always test ANY suggestion in a test environment before implementing!

    • Marcado como respuesta GualbertoMX jueves, 14 de marzo de 2013 15:00
    miércoles, 13 de marzo de 2013 3:11

Todas las respuestas

  • Hola GualbertoMX!

    Vayamos por partes :)

    En relación a la Restricción de Internet, estimo que estás por el camino equivocado. Si bien con mucho esfuerzo podrías lograr algún tipo de efecto "simil", las restricciones de navegación y conectividad las deberías manejar a través de un Firewall / Proxy como TMG o simil. De esta forma lograrías permitir, denegar o restringir las navegaciones y los destinos de navegación.

    En relación a la Restricción para la utilización de unidades extraibles a través de USB, tenés la posibilidad de usar GPOs a través de políticas de Equipo y políticas de Usuario:

    Políticas de Equipo: Computer Configuration / Administrative Templates / System / Removable Storage Access.

    Estas opciones impactan a nivel Equipo (OUs con los equipos).

    Políticas de Usuario: UserConfiguration / Administrative Templates / System / Removable Storage Access.

    Estas opciones impactan a nivel Usuario(OUs con los usuarios).

    La decisión de usar una u otra (equipo o usuario) dependerá de las necesidades de tu empresa. Si elegís configurar las opciones a nivel equipo, impactará en cualquier usuario que se loguee. Si elegís configurar las opciones a nivel usuario, seguirá a dicho usuario por cualquier equipo de la red.

    Un item importante a remarcar es que muchas de las políticas disponibles a nivel equipo tienen prioridad por sobre las opciones indivisuales por usuario. Revisá cada opción en detalle.

    Saludos!!


    Pablo Ariel Di Loreto
    IT Consultant

    This posting is provided "AS IS" with no warranties and confers no rights! Always test ANY suggestion in a test environment before implementing!

    sábado, 2 de marzo de 2013 22:11
  • Ok, perfecto muchas gracis y me quedaron muy claros ambos temas
    lunes, 4 de marzo de 2013 21:19
  • De nada Gualber!

    Te dejo un saludo!


    Pablo Ariel Di Loreto
    IT Consultant

    This posting is provided "AS IS" with no warranties and confers no rights! Always test ANY suggestion in a test environment before implementing!

    martes, 5 de marzo de 2013 5:17
  • De nuevo yo con la misma duda fijate que ya aplique los cambios como me lo describes tu pero sigue sin aplicarlos, que necesito hacer para que los aplique, segun yo defini la politica y le defini a que usuario la aplicara y no la aplica.
    martes, 5 de marzo de 2013 18:28
  • Hola Gualber!

    Ante todo, disculpas por la demora en responder! Sería interesante si nos podés contar la versión de los clientes Windows que tenés en tu infraestructura. Verificá que casi todas estas políticas requieren de Windows Vista o superior, y en algunos casos Windows 7 o superior. Puedo suponer que por aquí viene tu problema.

    En el caso que tengas Windows XP y necesites lograr el mismo efecto, verificá la siguiente nota de Microsoft:

    Ahora bien, si la no aplicación la estas teniendo sobre equipos Windows Vista / 7, deberías revisar lo siguiente:

    1. Si es una política de equipo, que los equipos estén dentro de la OU a la cual estás haciendo link de la política.
    2. Si es una política de usuario, idem al anterior pero asegurandote que los usuarios estén dentro de la OU.

    Si has verificado los anteriores dos items, nos queda como alternativa que saques un resultante de políticas desde un equipo cliente a través del siguiente comando a través de un CMD (recordá, en el equipo cliente!):

    gpresult /h xxx.html
    donde "xxx.html" será el archivo que genere el comando, y podrás analizar qué políticas se están aplicando y cuales no. Tendrás una punta posiblemente para descubrir el problema que estás teniendo.

    Esperamos tu feedback!!

    Saludos!!


    Pablo Ariel Di Loreto
    IT Consultant

    This posting is provided "AS IS" with no warranties and confers no rights! Always test ANY suggestion in a test environment before implementing!

    • Marcado como respuesta GualbertoMX jueves, 14 de marzo de 2013 15:00
    miércoles, 13 de marzo de 2013 3:11
  • No te preocupes de antemano gracias por la respuesta y efectivamente ese fue mi problema, al verificar en las estaciones me percate que solo aplicaba la politica a equipos on windows 7 en adelante lo que tienen Windows XP no aplicaba por lo cual opte por restringir el uso de las memorias usb directo en cda estacion por medio del Regedit, pero entonces me surge una pregunta ¿Por que unas poliicas si se aplican a las estaciones con windows Xp y otras como este caso no?, ¿Tendre que reconfirgurar mi servidor?

    Saludos y Gracias

    jueves, 14 de marzo de 2013 15:00
  • Hola GulbertoMX!

    Ante todo disculpas por la tardanza en mi respuesta! Te paso a responder: hay muchas GPOs que tienen requerimientos mínimos. Estas que te indiqué tienen como requerimiento mínimo Windows Vista o superior (casi todas), verificalo en la siguiente imagen:

    En el enunciado original no expresabas que querías utilizar las GPOs para Windows XP. Sin embargo existe un workaround para este sistema operativo. Verificá los siguientes enlaces: 

    Podés aplicarlo masivamente a través de GPOs de modificación de registro y paths de archivos.

    Saludos!!


    Pablo Ariel Di Loreto
    IT Consultant

    This posting is provided "AS IS" with no warranties and confers no rights! Always test ANY suggestion in a test environment before implementing!

    martes, 9 de abril de 2013 4:09