none
Aplicar directivas sin Usuario como Administrador Local RRS feed

  • Pregunta

  • Hola,

    Trabajo en TI de una entidad estatal y estamos en fase de implementación de Active Directory; ya tengo las políticas establecidas, entre ellas las más básicas como Creación de Accesos Directos, Mapeos de Unidades de Red, y restricciones para terminales "tontos".

    El tema es que al iniciar las pruebas con equipos en laboratorios, me he encontrado con la necesidad de poner al usuario como administrador local, por ejemplo:

    - Usuario Benito Lopez(b.lopez), dentro de la UO Biblioteca, y pertenece al grupo Asistentes.

    - La directiva para esta UO es que al iniciar sesión muestre en el escritorio los accesos directos al Portal de Biblioteca, Catalogo Electronico, y hereda una política superior que muestra accesos directos al Portal de la Universidad, Correo Electrónico y Sistema Académico. Todas las polítias pasaron por el "gpupdate /force" despues de creadas y vinculadas.

    Cuando me logueo por primera vez con el usuario simplemente no se aplica la directiva, ni se crean los accesos ni se muestran.

    Me logueo con un usuario local administrador, luego en Administración de Equipos/Usuarios y Grupos Locales/Grupos, en el grupo Administradores agrego al usuario b.lopez y nuevamente inicio sesión, ahi si se crean los accesos y todo lo que indica la directiva.

    El tema es que no quiero tener que colocar a los usuarios como administradores locales ya que hay algunos usuarios que tienden a desconfigurar el equipo, instalar programas, etc y no quiero perder ese control.

    Tambien he probado con poner al usuario como admin local, iniciar sesion, dejar que se apliquen las directivas y luego quitarlo del grupo admins, pero en este caso si aplico algun cambio en la directiva simplemente no se ejecutará.

    ¿Hay algo que estoy haciendo mal? o es que es necesario que los usuarios sean admins locales.

    Gracias por el apoyo, saludos desde Lima, Perú

    lunes, 29 de septiembre de 2014 14:05

Respuestas

  • Hola, MarlonRoberto:

    Lo importante es detectar que NO se están aplicando correctamente las GPO que deseas en el cliente. Normalmente, las causas probables suelen ser 3:

    1.- Las GPO a aplicar NO están asignadas a la OU correspondiente => Desde la consola EJECUTAR => GPMC.msc del DC, selecciona desde el árbol lateral izquierdo a la OU correspondiente y del menú ACCION => LINKAR A GPO EXISTENTE.. Escoge la GPO correcta. Tambien puedes hacerlo seleccionando la OU con el botón secundario del ratón y escogiendo la opción LINKAR A GPO EXISTENTE..

    2.- Las GPO a aplicar están deshabilitadas => Para arreglarlo, accede a la consola GPMC.msc y seleccionando la GPO desde el árbol izquierdo y selecciona la opción HABILITADO del combo-box de la solapa DETALLES.

    3.- Inicia la sesión en la estación cliente con credenciales de una cuenta de cliente..


    Desiderio Ondo | Bachellor Science in Computer engineering | MCSE certified | ITIL certified | Exchange mailing certified

    • Propuesto como respuesta Uriel Almendra martes, 30 de septiembre de 2014 13:59
    • Marcado como respuesta Moderador M jueves, 2 de octubre de 2014 16:01
    martes, 30 de septiembre de 2014 12:08

Todas las respuestas

  • Hola, MarlonRoberto:

    Lo idóneo sería que nos hicieras saber si hablamos de un entorno centralizado baja sistemas MS wSERVER 2k3, MS w2k8 o MS w2k12, para orientarte mejor. En todo caso, suena harto extraño que para aplicar las GPO a nivel de dominio, sea necesario que el usuario pertenezca al grupo de Administración local de la estación de trabajo. Como bien supones, permitir a un usuario inexperto que tenga privilegios de Administrador local en cualquier dispositivo es una garantía absoluta a que lo estropeará.. Y para el scenario que señalas NO es estrictamente necesario que el bicho de turno tenga privilegios Administrativos.

    La causa más probable que puedo imaginar es el hecho de que las GPO aplicadas a nivel de máquina no las tienes asociadas a los objetos de máquina de AD. Para ello, basta con que arrastres los objetos de máquina a las OU's correspondientes (por ejemplo: las estaciones cliente del dominio ubicadas en la "Biblioteca", arrástralas a la OU de nombre "Biblioteca" al que estará aplicándose la GPO personalizadas para los usuarios del departamento/site "Biblioteca")

    Para el scenario que señalas es recomendable primero establezcas la redirección del Escritorio/Desktop desde CONF. USUARIO => POLITICAS => CONF. WINDOWS => REDIRECCIÓN DE CARPETAS => botón derecho sobre ESCRITORIO/DESKTOP => Establecer una ubicación UNC básica en red para todos los usuarios (preferiblemente en el servidor) donde se encuentren los accesos directos que quieres asociar a cada departamento..

    Otra manera perfectamente válida (sólo para entornos MS w2k12) es que establezcas los accesos desde la ruta CONF. USUARIO => PREFERENCIAS => CONF. WINDOWS => ACCESOS DIRECTOS, en donde estableciendo URL como "tipo de destino" y ESCRITORIO/DESKTOP como "localización", podrás establecer los accesos que te interesen..

    En todo caso, verifica que la GPO se aplica correctamente en las estaciones cliente aplicando desde la misma el comando EJECUTAR => RSOP.msc y accediendo a las propiedades de CONF. EQUIPO o CONF. USUARIO..

    Te recomiendo eches un vistazo al documento publicado por el compañero Fernando Reyes acerca de las GPO:

    · Directivas de grupo/Directivas de dominio:
    http://freyes.svetlian.com/GPOS/GPOS.htm

    Así como el informe desarrollado por ell compañero Guillermo Delprato acerca de cómo usarlas correctamente:

    · Cómo funcionan las Directivas de Grupo (Group Policy Objects – GPOs):
    http://social.technet.microsoft.com/Forums/es-ES/b1b8f0ed-4b91-4475-b311-79188a2f5853/cmo-funcionan-las-directivas-de-grupo-group-policy-objects-gpos?forum=wsgpes

    Desiderio Ondo | Bachellor Science in Computer engineering | MCSE certified | ITIL certified | Exchange mailing certified

    lunes, 29 de septiembre de 2014 14:46
  • Gracias Desiderio, la información me ha resultado de mucha utilidad, he realizado algunos cambios como el de colocar a los equipos en las OU correspondientes.

    El único detalle ahora es que los accesos directos no se muestran, ya tenía configurada la directiva según la segunda recomendación que indicas, pero verificando con el comando rsop.msc veo que no se esta aplicando dicha directiva, en todo caso a que se puede deber que no se aplique.

    Nuestro entorno es w2008 y clientes w7pro 32 y 64 bits.

    Gracias nuevamente.

    lunes, 29 de septiembre de 2014 20:55
  • Hola, MarlonRoberto:

    Lo importante es detectar que NO se están aplicando correctamente las GPO que deseas en el cliente. Normalmente, las causas probables suelen ser 3:

    1.- Las GPO a aplicar NO están asignadas a la OU correspondiente => Desde la consola EJECUTAR => GPMC.msc del DC, selecciona desde el árbol lateral izquierdo a la OU correspondiente y del menú ACCION => LINKAR A GPO EXISTENTE.. Escoge la GPO correcta. Tambien puedes hacerlo seleccionando la OU con el botón secundario del ratón y escogiendo la opción LINKAR A GPO EXISTENTE..

    2.- Las GPO a aplicar están deshabilitadas => Para arreglarlo, accede a la consola GPMC.msc y seleccionando la GPO desde el árbol izquierdo y selecciona la opción HABILITADO del combo-box de la solapa DETALLES.

    3.- Inicia la sesión en la estación cliente con credenciales de una cuenta de cliente..


    Desiderio Ondo | Bachellor Science in Computer engineering | MCSE certified | ITIL certified | Exchange mailing certified

    • Propuesto como respuesta Uriel Almendra martes, 30 de septiembre de 2014 13:59
    • Marcado como respuesta Moderador M jueves, 2 de octubre de 2014 16:01
    martes, 30 de septiembre de 2014 12:08