none
Funcionamiento de GPO's RRS feed

  • Pregunta

  • Hola,

    Administro de forma delegada un directorio activo creado por otra empresa: un cliente tiene contratada a una empresa que ha creado un directorio activo que se utiliza para varios cometidos, está dividido en varias secciones (no subdominios), y mi empresa tiene delegadas ciertas tareas administrativas en una rama de ese directorio activo.

    En la parte que pseudoadministro, hay creadas varias unidades organizativas. En una de ellas, están incluidos todos los equipos que administramos, y nos han creado un grupo de seguridad que incluye a algunos de esos equipos.

    Enlazada a esa unidad organizativa, hay 4 objetos GPO. En dichos GPO's, hay configuraciones de equipo y configuraciones de usuario. Esas GPO's están filtradas al grupo de seguridad que contiene a los equipos. Los usuarios están repartidos por muchas otras unidades organizativas.

    Pues bien, la cuestión es que si a esos 4 objetos GPO solo se filtran al grupo que contiene las máquinas, la parte de usuario de esas GPO no se les aplica a nadie que inicie sesión en esos equipos. Para que se les aplique, es necesario incluir en el filtrado al grupo usuarios autentificados. El problema es que al filtrar a los usuarios autentificados, la configuración de usuario se aplica no solo en los equipos que se pretende (los que pertenecen al grupo), sino en todos los que están en la unidad organizativa.

    Si se les quita el filtrado al grupo usuarios autentificados, la política de usuario no se aplica a nadie.

    Evidentemente, la solución es crear unidades organizativas diferentes en una los equipos en los que se pretende que se apliquen las GPO, y en otra u otras los que no, y enlazar las GPO's a esa unidad organizativa, y filtrarla a usuarios autentificados. Pero tengo que hacer ver al cliente que la solución es ésa para que obligue a la otra empresa a hacerlo, y necesito algo más que mis conocimientos para convencerle: necesito algún documento, página o manual oficial de Microsoft donde explique esto. ¿Me podéis ayudar?

    jueves, 1 de agosto de 2013 7:11

Respuestas

Todas las respuestas

  • Hola Paco!

    Has probado usar Loopback Policy Processing (no se decirlo en español, :P) ? Estoy casi seguro de que si lo activas para las GPOs que se aplican a esa OU las políticas que "ven" a los ordenadores de esa OU se aplicarán a los usuarios que inician sesión en ellos.

    Aquí te dejo un link a un articulo de TechNet sobre el Loopback Processing: http://technet.microsoft.com/en-us/library/cc782810(v=WS.10).aspx

    Pero, vamos, que activarlo es muy fácil: Editas la política, navegas hasta Computer Configuration\Administrative Templates\System\Group Policy, la activas y seleccionas un modo. Yo te sugiero que lo pongas en modo merge, asi las otras políticas del dominio también se aplican a los usuarios. Ojo que si hay una política de tu OU que entra en conflicto con alguna del dominio, la de tu OU va a tomar preferencia, así que asegúrate de hacer varios RSoP y GPResult antes de mostrárselo al jefe, ya sabes como son ;)

    Pruébalo y a ver que tal, y dinos que tal te fue :)

    Un saludo!

    -Julian

    Microsoft Student Partner

    jueves, 1 de agosto de 2013 9:44
  • El problema está que el grupo usuarios autenticados incluye todos los que se autentican en el dominio "usuarios y equipos" entonces si haces el filtrado usando este grupo estas incluyendo todos los equipos y usuarios del dominio.

    Deberias de criar otro grupo de seguridad para los usuarios y quitar usuarios autenticados del filtrado.

    saludos.


    jueves, 1 de agosto de 2013 10:03
  • Gracias por responder.

    El loopback podría servir, pero no es lo que queremos: lo que queremos es explicarle al cliente que la mejor forma de aplicar políticas es distribuir los servidores con diferentes necesidades por diferentes OU's y aplicar diferentes GPO's a esas OU's. Te pongo un ejemplo de lo que está mal y por qué necesitamos cambiarlo.

    En la OU Servidores, hay 4 servidores. Y se le aplica una GPO a la OU que crea grupos restringidos aparte de otras configuraciones. Se filtra a un grupo que contiene solo a uno de esos 4 servidores y a usuarios autentificados. Pues se le aplica a los 4 servidores, no solo al que pertenece al grupo de servidores al que se filtra.

    Para evitar esto, sería tan sencillo como crear una OU con el servidor al que queremos que se le apliquen los grupos restringidos, y otra con los que no. Y aplicar la GPO al que sí queremos. Sin grupos de seguridad y filtrando a usuarios autentificados. Si después queremos que también se aplique a uno de los que no se le aplicaba, o bien movemos a ese servidor de UO, o bien creamos un grupo de seguridad, incluimos el equipo en el grupo y filtramos a usuarios autenticados y al grupo de seguridad.

    Yo creo que eso funciona así, pero como tampoco tengo forma de hacer las pruebas necesarias porque no tengo los permisos suficientes, tengo que aportar documentación al cliente que le demuestre lo que estoy diciendo.

    jueves, 1 de agosto de 2013 10:04
  • Ah, coño, eso cambia las cosas. Entonces, y si en vez de usuarios autenticados utilizamos usuarios del dominio funcionaría?

    • Marcado como respuesta Uriel Almendra lunes, 5 de agosto de 2013 16:24
    jueves, 1 de agosto de 2013 10:08
  • Hola Paco. Si creo que si funcionaria! aún que no estoy de todo seguro que no entran los equipos en usuarios del dominio!!! Pero creo que lo mejor es criar un grupo y unir los usuarios a este grupo, LDIFDE es una buena opción.

    Un saludo.

    jueves, 1 de agosto de 2013 15:33
  • Yo creo que los usuarios del dominio solo incluyen usuarios, porque me parece recordar que hay otro grupo que es equipos del dominio.

    En todo caso, incluya solo a usuarios o no, la solución de meter a los usuarios en un grupo y filtrar a ese grupo no es válida: la gestión de usuarios y la inclusión en grupos queda totalmente fuera de nuestro alcance, y es una organización con más de 50 mil usuarios.

    Así que si el grupo usuarios del dominio incluye equipos, hay que optar por la otra solución, que por otra parte es la mejor desde el punto de vista técnico y administrativo: UO's diferentes por cada tipo de servidor (hay 5 tipos de servidores, cada uno con sus propias políticas, algunas de ellas comunes, otras no).

    jueves, 1 de agosto de 2013 19:57
  • Con todo que me cuetas usuarios del dominio es la mejor opción!!! un saludo y cuentame cuando sepas algo...
    jueves, 1 de agosto de 2013 21:02