none
problemas al aplicar políticas en dos dominos con relacion de confianza. RRS feed

  • Pregunta

  • Buenas tardes, dos dos dominios distintos entre los cuales hay una relacion de confianza operativa: (se ven usuarios de ambos dominos y se pueden asignar permisos a aplicaciones etc) 

      El problema que tenemos es que NO SE APLICAN LAS POLÍTICASDEL DOMINO EN EL QUE RESIDE EL SERVIDOR CITIRX  en los usuarios del dominio externo , 

    el escenario seria:

     DOMINIO 1                                      DOMIMIO 2 

        -- usurios x                                        - Grupo Seguridad local (incluye usuario DOMINIO 1)

                                                                     - GPO: ( aplica a grupo local )

                                                                         acceso a equipo DOMINO2 con usuarios DOMINIO 1 -- > NO aplica GPO.


    M.A.Mora

    jueves, 22 de noviembre de 2018 17:05

Respuestas

  • Hola Miguel Angel, es lo lógico y esperable que así sea :)

    Nunca las GPOs de un Dominio se van a aplicar a otro, si tienes dos Dominios y quieres aplicar la misma configuración en ambos, debes crear dos GPOs

    Además, y como aclaración por las dudas, las GPOs no se aplican a grupos, sólo donde están las cuentas. Se puede manejar por filtrado de seguridad la aplicación a determinados grupos, pero es otro tema y no es fácil de hacer

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    jueves, 22 de noviembre de 2018 17:18
    Moderador
  • Muchisimas Gracias Guillermo por contestar, No me he explicado bien:

    Tengo dos dominios con una relación de confianza trns.

    CIERTOS usuarios del D1 acceden al D2,(citrix) lo que hemos hecho es CREAR el el D2 un GRUPO LOCAL y hemos asignado los USUARIOS del D1 a los que queremos dar acceso por CITRIX,  AL GRUPO LOCAL lo hemos metido en una OU del D2 con una POLITICA ASIGNADA, pero no la aplica. Al acceder los usuarios del D1 al D2 por citrix tienen todo a su disposición

    ESCENARIO:

    D1               <   --------    RELACION DE CONFIANZA  -------->                             D2

                                                                                                                            -UO (POLITICA ASIGNADA)

    USUARIOS D1                                                                                                      * GRUPO LOCAL 

                                                                                                                                    . USUARIOS D1


    M.A.Mora

    viernes, 23 de noviembre de 2018 8:33
  • Las relaciones de confianza lo que permiten es que las cuentas de un Dominio (el confiado), puedan acceder recursos del otro Dominio (el confiante), pero de ninguna forma hace que las cuentas de uno puedan ser administradas por el otro

    Si la cuenta de usuario está en D1, por más que lo hagas pertencer a grupos de D2, nunca le va aplicar GPOs de D2, siempre recibirá sólo las de D1

    Te reitero lo que puse antes: las GPOs se aplican sólo de acuerdo a dónde esté la cuenta, no a grupos a los que pueda pertenecer el usuario, y esto independientemente de si es el mismo o diferentes Dominios

    Este enlace te puede aclarar el tema:

    Cómo Funcionan las Directivas de Grupo (GPOs) | WindowServer
    https://windowserver.wordpress.com/2011/02/10/como-funcionan-las-directivas-de-grupo-gpos/

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    viernes, 23 de noviembre de 2018 10:29
    Moderador

Todas las respuestas

  • Hola Miguel Angel, es lo lógico y esperable que así sea :)

    Nunca las GPOs de un Dominio se van a aplicar a otro, si tienes dos Dominios y quieres aplicar la misma configuración en ambos, debes crear dos GPOs

    Además, y como aclaración por las dudas, las GPOs no se aplican a grupos, sólo donde están las cuentas. Se puede manejar por filtrado de seguridad la aplicación a determinados grupos, pero es otro tema y no es fácil de hacer

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    jueves, 22 de noviembre de 2018 17:18
    Moderador
  • Muchisimas Gracias Guillermo por contestar, No me he explicado bien:

    Tengo dos dominios con una relación de confianza trns.

    CIERTOS usuarios del D1 acceden al D2,(citrix) lo que hemos hecho es CREAR el el D2 un GRUPO LOCAL y hemos asignado los USUARIOS del D1 a los que queremos dar acceso por CITRIX,  AL GRUPO LOCAL lo hemos metido en una OU del D2 con una POLITICA ASIGNADA, pero no la aplica. Al acceder los usuarios del D1 al D2 por citrix tienen todo a su disposición

    ESCENARIO:

    D1               <   --------    RELACION DE CONFIANZA  -------->                             D2

                                                                                                                            -UO (POLITICA ASIGNADA)

    USUARIOS D1                                                                                                      * GRUPO LOCAL 

                                                                                                                                    . USUARIOS D1


    M.A.Mora

    viernes, 23 de noviembre de 2018 8:33
  • Las relaciones de confianza lo que permiten es que las cuentas de un Dominio (el confiado), puedan acceder recursos del otro Dominio (el confiante), pero de ninguna forma hace que las cuentas de uno puedan ser administradas por el otro

    Si la cuenta de usuario está en D1, por más que lo hagas pertencer a grupos de D2, nunca le va aplicar GPOs de D2, siempre recibirá sólo las de D1

    Te reitero lo que puse antes: las GPOs se aplican sólo de acuerdo a dónde esté la cuenta, no a grupos a los que pueda pertenecer el usuario, y esto independientemente de si es el mismo o diferentes Dominios

    Este enlace te puede aclarar el tema:

    Cómo Funcionan las Directivas de Grupo (GPOs) | WindowServer
    https://windowserver.wordpress.com/2011/02/10/como-funcionan-las-directivas-de-grupo-gpos/

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    viernes, 23 de noviembre de 2018 10:29
    Moderador
  • Disculpa por duplicar el tema, 

    Un millón de gracias,

    Entiendo entonces que si quisiera limitar a los usuairos de D1 en D2 ( Por ejemplo impedir acceso a panel de control  )  SI APLICO UNA politica de restriccion en D1  tampoco se llevaria a cabo en D2 al conectarse por CITRIX.??

    Gracias por tu ayuda.


    M.A.Mora

    viernes, 23 de noviembre de 2018 17:59
  • Si la cuenta de usuario está en D1 se le aplicarán las configuraciones de usuario de GPOs que lo afecten y que estén creadas en D1

    Dependiendo de las configuraciones se aplicarán o no cuando acceda al otro Dominio

    Deberías probar cada configuración, pienso que todo lo que está en "Plantillas administrativas" es probable que sí lo aplique porque esas configuraciones van al Registro y específicamente a la clave del usuario, pero las que están fuera de esa rama entiendo que no se aplicarán. Te toca probar

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    viernes, 23 de noviembre de 2018 21:13
    Moderador