none
Directiva de grupo no se visualiza en el equipo RRS feed

  • Pregunta

  • Estimados,

    Hola, tengo el siguiente problema, se ha creado una GPO y se ha vinculado, en un equipo de prueba la GPO se muestra aplicada correctamente,  se ha ejecutado los comandos gpupdate /force y revisando con el comando gpresult /r, pero en otros equipos no aparece que se haya aplicado, ni siquiera arroja error, por que razón?, cuales serian las causas de que no se aplique la GPO a algunos equipos?

    Si a alguien le ha sucedido por favor su ayuda para saber la causa de mi problema.

    Quedo atenta a sus comentarios. Gracias.

    Carola Tolosa

    domingo, 18 de mayo de 2014 3:34

Respuestas

  • Hola Sra. Carola Tolosa,

    Buenos días, gusto en saludarle, asumiendo que las estaciones de trabajo de prueba, en las que la GPO se aplica correctamente se encuentran en un contenedor(OU) y el resto de las estaciones de trabajo en otro contenedor(OU), las consultas que surjen son:

    1) La GPO, se esta aplicando sobre el contenedor(OU) donde se encuentran las estaciones de trabajo, o sobre un contenedor(OU) anterior(nivel superior)? En tal caso, se encuentra bloqueada la herencia de GPO's sobre el contenedor(OU) de las estaciones de trabajo donde no se aplican los settings?

    2) Cuando ejecuta el GPRESULT /r,  puede ver que dentro de la lista de las GPOs aplicadas, la GPO en cuestión, o la misma la ve dentro del listado de GPO's bloqueadas?

    3) En las estaciones de trabajo en la que no se aplica correctamente la GPO, ha verificado el visor de eventos de seguridad, para buscar algún indicio de porque no se están aplicando correctamente?

    4) Existe alguna configuración en la GPO que bloquee la aplicación sobre ciertos usuarios o estaciones de trabajo de las GPO's?

    5) Ha intentado ejecutar un RSoP(Resultant Set of Policies) a los efectos de verificar que settings no se están aplicando sobre estas estaciones de trabajo?

    Adicionalmente, a estas consultas, le remito un artículo que le puede resultar de utilidad.

    Your Guide to Group Policy Troubleshooting.http://technet.microsoft.com/en-us/magazine/2007.02.troubleshooting.aspx

    Quedamos atentos a sus comentarios.

    Saludos,

    Oscar

    • Marcado como respuesta Uriel Almendra lunes, 19 de mayo de 2014 15:17
    domingo, 18 de mayo de 2014 13:25

Todas las respuestas

  • Hola Sra. Carola Tolosa,

    Buenos días, gusto en saludarle, asumiendo que las estaciones de trabajo de prueba, en las que la GPO se aplica correctamente se encuentran en un contenedor(OU) y el resto de las estaciones de trabajo en otro contenedor(OU), las consultas que surjen son:

    1) La GPO, se esta aplicando sobre el contenedor(OU) donde se encuentran las estaciones de trabajo, o sobre un contenedor(OU) anterior(nivel superior)? En tal caso, se encuentra bloqueada la herencia de GPO's sobre el contenedor(OU) de las estaciones de trabajo donde no se aplican los settings?

    2) Cuando ejecuta el GPRESULT /r,  puede ver que dentro de la lista de las GPOs aplicadas, la GPO en cuestión, o la misma la ve dentro del listado de GPO's bloqueadas?

    3) En las estaciones de trabajo en la que no se aplica correctamente la GPO, ha verificado el visor de eventos de seguridad, para buscar algún indicio de porque no se están aplicando correctamente?

    4) Existe alguna configuración en la GPO que bloquee la aplicación sobre ciertos usuarios o estaciones de trabajo de las GPO's?

    5) Ha intentado ejecutar un RSoP(Resultant Set of Policies) a los efectos de verificar que settings no se están aplicando sobre estas estaciones de trabajo?

    Adicionalmente, a estas consultas, le remito un artículo que le puede resultar de utilidad.

    Your Guide to Group Policy Troubleshooting.http://technet.microsoft.com/en-us/magazine/2007.02.troubleshooting.aspx

    Quedamos atentos a sus comentarios.

    Saludos,

    Oscar

    • Marcado como respuesta Uriel Almendra lunes, 19 de mayo de 2014 15:17
    domingo, 18 de mayo de 2014 13:25
  • Buen dia Carola Tolosa como estas,

    Estos problemas pueden ser posibles, dime que sistema operatvico tienes en el server y en los clientes ? cual es el setting que estas aplicando ? es de usuario o de computadora ? pueden que exista algunos ajustes o compatibildad de versiones en cada setting.

    lunes, 19 de mayo de 2014 12:35
  • Estimados,

    Hola, estoy muy bien! primero que todo, muchas gracias por las respuestas, el problema sigue siendo lo siguiente:

    Esto es lo que pasa:

    Tengo 3 equipos en una OU de test el cual esta vinculada con la GPO creada.

    A uno de los tres equipos al aplicar el comando gpresult /r me muestra la configuración de equipo y además la politica aplicada, sin error.

    En los otros dos PC, no muestra la configuración de equipo y no se observa la politica aplicada.

    Los tres equipos son Windows 7 en 32 y 64 bits. El controlador de dominio tiene Windows Server 2008 R2 Service Pack 1. 

    Muchas Gracias.

    Carola Tolosa


    lunes, 19 de mayo de 2014 20:11
  • cual es el setting que estas aplicando ? es de usuario o de computadora ?
    martes, 20 de mayo de 2014 3:13
  • Hola, el setting que se esta aplicando es a la configuración de equipo.


    Carola Tolosa

    martes, 20 de mayo de 2014 12:20
  • Estimados, 

    Para una mayor comprensión del problema que tengo adjunto log, del resultado de la GPO y detalle de la politica.

    Gracias.

    CASO GPO QUE SE APLICA
    ---------------------------------------------

    Herramienta de resultados para la Directiva de grupos del
    sistema operativo Microsoft (R) Windows (R) v2.0
    Copyright (C) Microsoft Corp. 1981-2001

    Creado en 19-05-2014 a 9:26:58

    RSOP datos para MIDOMINIO\juang en NB-JUANG : modo de inicio de sesi¢n
    ---------------------------------------------------------------------------------------------------------------

    Configuraci¢n del sistema operativo: Estaci¢n de trabajo miembro
    Versi¢n del sistema operativo:       6.1.7601
    Nombre de sitio:                   Default-First-Site-Name
    Perfil m¢vil:             n/a
    Perfil local:                        C:\Users\juang
    ¨Conectado a un v¡nculo de baja velocidad?: No


    CONFIGURACIàN DE EQUIPO
    ----------------------------------------------
        CN=NB-JUANG,OU=Computers_AVGTest,OU=Computers_Avg,OU=Oficinas,DC=midominio,DC=cl
        éltima vez que se aplic¢ la Directiva de grupo: 19-05-2014 a las 9:25:14
        Directivas de grupo aplicadas desde PDC.midominio.cl
        Umbral del v¡nculo de baja velocidad de las Directivas de grupo:500 kbps
        Nombre de dominio:                   midominio
        Tipo de dominio:                     Windows 2000

        Objetos de directiva de grupo aplicados
        ------------------------------------------------------
            GPO AVG Carola Tolosa        ******** Como se muestra, se aplico la politica GPO AVG Carola Tolosa ********
            Directiva de grupo local



    CASO GPO QUE NO SE APLICA
    ---------------------------------------------------

    C:\Users\cperez>gpresult /r

    Herramienta de resultados para la Directiva de grupos del
    sistema operativo Microsoft (R) Windows (R) v2.0
    Copyright (C) Microsoft Corp. 1981-2001

    Creado en 20-05-2014 a 12:27:29


    RSOP datos para MIDOMINIO\cperez en PC-CPEREZ : modo de inicio de sesión
    -----------------------------------------------------------------------

    Configuración del sistema operativo: Estación de trabajo miembro
    Versión del sistema operativo:       6.1.7601
    Nombre de sitio:                   n/a
    Perfil móvil:             n/a
    Perfil local:                        C:\Users\cperez
    ¿Conectado a un vínculo de baja velocidad?: No


    CONFIGURACIÓN DE USUARIO
    -------------------------------------------------
        CN=Carlos Perez,OU=Informatica,OU=Region 13,OU=Oficinas,D
    C=midominio,DC=cl
        Última vez que se aplicó la Directiva de grupo: 20-05-2014 a las 11:59:54
        Directivas de grupo aplicadas desde vm-sdc.midominio.cl
        Umbral del vínculo de baja velocidad de las Directivas de grupo:500 kbps
        Nombre de dominio:                   MIDOMINIO
        Tipo de dominio:                     Windows 2000

        Objetos de directiva de grupo aplicados
        ------------------------------------------------------
            GPO-SEGURIDAD-PMG
            GPO Zonas de Seguridad

        Los objetos GPO siguientes no se aplicaron porque fueron filtrados
        -------------------------------------------------------------------------------------------
            Directiva de grupo local
                Filtrar:  No aplicado (vacío)

            GPO - Register DNS
                Filtrar:  Deshabilitado (Vínculo)

        El usuario es parte de los siguientes Grupos de seguridad
        ------------------------------------------------------------------------------
            Domain Users
            Todos
            Usuarios
            Administradores
            NT AUTHORITY\INTERACTIVE
            INICIO DE SESIÓN EN LA CONSOLA
            Usuarios autentificados
            Esta compañía
            LOCAL
            Domain Admins
            EstacionRestringida
            testldap
            Denied RODC Password Replication Group
            DnsAdmins
            Nivel obligatorio alto

    ******* En este caso no muestra la configuración de equipo y tampoco muestra que se haya aplicado la politica. ********

    C:\Users\cperez>

    jueves, 22 de mayo de 2014 22:52
  • DETALLE DE LA GPO CREADA

    GPO AVG Carola Tolosa

    Datos recopilados el: 14-05-2014 10:05:56

    General

    Detalles

    Dominio

    midominio.cl

    Propietario

    MIDOMINIO\Domain Admins

    Creado

    05-05-2014 14:53:02

    Modificado

    05-05-2014 15:01:42

    Revisiones de usuario

    0 (AD), 0 (sysvol)

    Revisiones de equipo

    25 (AD), 25 (sysvol)

    Id. único

    {6114C6C2-6A4C-47BB-8413-D4A18044EA6E}

    Estado de GPO

    Habilitado

    Vínculos

    Ubicación

    Aplicado

    Estado de vínculo

    Ruta

    Computers_AVGTest

    Habilitado

    midominio.cl/Oficinas/Computers_Avg/Computers_AVGTest

    Esta lista sólo incluye vínculos en el dominio del GPO.

    Filtrado de seguridad

    La configuración en este GPO sólo se puede aplicar a los grupos, usuarios y equipos siguientes:

    Nombre

    NT AUTHORITY\Usuarios autentificados

    Delegación

    Estos grupos y usuarios tienen los permisos especificados para este GPO

    Nombre

    Permisos válidos

    Heredado

    MIDOMINIO\Domain Admins

    Editar configuración, eliminar, modificar seguridad

    No

    MIDOMINIO\Enterprise Admins

    Editar configuración, eliminar, modificar seguridad

    No

    NT AUTHORITY\ENTERPRISE DOMAIN CONTROLLERS

    Lectura

    No

    NT AUTHORITY\SYSTEM

    Editar configuración, eliminar, modificar seguridad

    No

    NT AUTHORITY\Usuarios autentificados

    Lectura (de Filtrado de seguridad)

    No

    Configuración del equipo (habilitada)

    Directivas

    Configuración de Windows

    Configuración de seguridad

    Firewall de Windows con seguridad avanzada

    Configuración global

    Directiva

    Configuración

    Versión de directivas

    2.10

    Deshabilitar FTP con estado

    No configurado

    Deshabilitar PPTP con estado

    No configurado

    Exención de IPsec

    No configurado

    IPsec a través de NAT

    No configurado

    Codificación de clave previamente compartida

    No configurado

    Tiempo inactivo de SA

    No configurado

    Comprobación CRL fuerte

    No configurado

    Reglas de entrada

    Nombre

    Descripción

    Instrumental de administración de Windows (ASync de entrada)

    Regla de entrada para permitir el tráfico WMI asincrónico en el Instrumental de administración de Windows remoto. [TCP]

    Esta regla puede incluir algunos elementos que la versión actual del módulo de informe GPMC no pueda interpretar

    Habilitado

    Verdadero

    Programa

    %systemroot%\system32\wbem\unsecapp.exe

    Acción

    Permitir

    Seguridad

    Requerir autenticación

    Equipos autorizados

    Usuarios autorizados

    Protocolo

    6

    Puerto local

    Cualquiera

    Puerto remoto

    Cualquiera

    Configuración ICMP

    Cualquiera

    Ámbito local

    Cualquiera

    Ámbito remoto

    Subred local

    Perfil

    Privado, Público

    Tipo de interfaz de red

    Todo

    Servicio

    Todos los programas y servicios

    Permitir cruce seguro del perímetro

    Falso

    Grupo

    Instrumental de administración de Windows (WMI)

    jueves, 22 de mayo de 2014 22:53
  • Instrumental de administración de Windows (WMI de entrada)

    Regla de entrada para permitir el tráfico WMI en el Instrumental de administración de Windows remoto. [TCP]

    Esta regla puede incluir algunos elementos que la versión actual del módulo de informe GPMC no pueda interpretar

    Habilitado

    Verdadero

    Programa

    %SystemRoot%\system32\svchost.exe

    Acción

    Permitir

    Seguridad

    Requerir autenticación

    Equipos autorizados

    Usuarios autorizados

    Protocolo

    6

    Puerto local

    Cualquiera

    Puerto remoto

    Cualquiera

    Configuración ICMP

    Cualquiera

    Ámbito local

    Cualquiera

    Ámbito remoto

    Subred local

    Perfil

    Privado, Público

    Tipo de interfaz de red

    Todo

    Servicio

    Winmgmt

    Permitir cruce seguro del perímetro

    Falso

    Grupo

    Instrumental de administración de Windows (WMI)

    Instrumental de administración de Windows (DCOM de entrada)

    Regla de entrada para permitir el tráfico DCOM el Instrumental de administración de Windows remoto. [TCP 135]

    Esta regla puede incluir algunos elementos que la versión actual del módulo de informe GPMC no pueda interpretar

    Habilitado

    Verdadero

    Programa

    %SystemRoot%\system32\svchost.exe

    Acción

    Permitir

    Seguridad

    Requerir autenticación

    Equipos autorizados

    Usuarios autorizados

    Protocolo

    6

    Puerto local

    135

    Puerto remoto

    Cualquiera

    Configuración ICMP

    Cualquiera

    Ámbito local

    Cualquiera

    Ámbito remoto

    Subred local

    Perfil

    Privado, Público

    Tipo de interfaz de red

    Todo

    Servicio

    Rpcss

    Permitir cruce seguro del perímetro

    Falso

    Grupo

    Instrumental de administración de Windows (WMI)

    Instrumental de administración de Windows (ASync de entrada)

    Regla de entrada para permitir el tráfico WMI asincrónico en el Instrumental de administración de Windows remoto. [TCP]

    Esta regla puede incluir algunos elementos que la versión actual del módulo de informe GPMC no pueda interpretar

    Habilitado

    Verdadero

    Programa

    %systemroot%\system32\wbem\unsecapp.exe

    Acción

    Permitir

    Seguridad

    Requerir autenticación

    Equipos autorizados

    Usuarios autorizados

    Protocolo

    6

    Puerto local

    Cualquiera

    Puerto remoto

    Cualquiera

    Configuración ICMP

    Cualquiera

    Ámbito local

    Cualquiera

    Ámbito remoto

    Cualquiera

    Perfil

    Dominio

    Tipo de interfaz de red

    Todo

    Servicio

    Todos los programas y servicios

    Permitir cruce seguro del perímetro

    Falso

    Grupo

    Instrumental de administración de Windows (WMI)

    Instrumental de administración de Windows (WMI de entrada)

    Regla de entrada para permitir el tráfico WMI en el Instrumental de administración de Windows remoto. [TCP]

    Esta regla puede incluir algunos elementos que la versión actual del módulo de informe GPMC no pueda interpretar

    Habilitado

    Verdadero

    Programa

    %SystemRoot%\system32\svchost.exe

    Acción

    Permitir

    Seguridad

    Requerir autenticación

    Equipos autorizados

    Usuarios autorizados

    Protocolo

    6

    Puerto local

    Cualquiera

    Puerto remoto

    Cualquiera

    Configuración ICMP

    Cualquiera

    Ámbito local

    Cualquiera

    Ámbito remoto

    Cualquiera

    Perfil

    Dominio

    Tipo de interfaz de red

    Todo

    Servicio

    Winmgmt

    Permitir cruce seguro del perímetro

    Falso

    Grupo

    Instrumental de administración de Windows (WMI)

    Instrumental de administración de Windows (DCOM de entrada)

    Regla de entrada para permitir el tráfico DCOM el Instrumental de administración de Windows remoto. [TCP 135]

    Esta regla puede incluir algunos elementos que la versión actual del módulo de informe GPMC no pueda interpretar

    Habilitado

    Verdadero

    Programa

    %SystemRoot%\system32\svchost.exe

    Acción

    Permitir

    Seguridad

    Requerir autenticación

    Equipos autorizados

    jueves, 22 de mayo de 2014 22:53