none
Aplicación de directivas con usuarios logueados local RRS feed

  • Pregunta

  • Hola,

    trabajo en el departamento de IT de una gran multinacional y gestionamos la UO para nuestro sitio.

    Tenemos aplicadas directivas en varias UOs que hay por debajo. Se trata de una red bastante heterogénea con mas de 1500 máquinas, con servidores, ordenadores portátiles y estaciones de trabajo con sistemas desde Windows 2000 a Windows Server 2008. Algunas de ellas entran con el usuario administrador (u otro usuario local) y están trabajando largos períodos de 24x7 sin reiniciarse y sin iniciar sesion con usuarios del dominio.

    El problema aparece cuando se crea o modifica una GPO (como el cambio reciente de servidor WSUS) y al entrar con un usuario local, no se actualizan las directivas en estas máquinas.

    Como son muchos los ordenadores en los cuales no se han actualizado las GPO, mi pregunta es si se puede forzar la actualización de éstas de forma remota y/o masiva.

    De lo contrario, ejecutar un GPUPDATE logado desde un usuario local ¿funcionaría? ¿aplicaría las GPO de Configuración del Equipo? O ¿sería necesario logarse con un usuario del dominio?

     

    Gracias y un saludo.

     

    Jordi.

    lunes, 12 de abril de 2010 10:15

Respuestas

  • Con GPUPDATE se pueden forzar la aplicación de GPOs en forma remota. Revisa GPUPATE /?

    Aunque debes tener en cuenta que todo lo que sea Configuración de Usuario no se aplicará a un usuario local (salvo las Account Policies)

    También hay que tener en cuenta, que algunas configuraciones requieren el reinicio del equipo para que puedan aplicarse, e inclusive en algunos casos hasta 2 o 3 reincios (muy puntuales como la advertencia de inicio de sesión)

     


    Guillermo Delprato - MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration --- Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos. --- Buenos Aires, Argentina
    lunes, 12 de abril de 2010 12:00
    Moderador
  • Hola Jordisans, disculpa que me equivoqué :-(
    No se puede con el GPUPDATE de Windows

    Pero investigando un poco encontré que hay una herramienta gratis que sí lo permite:

    Revisa este enlace a ver si cumple con lo que necesitas
    http://www.specopssoft.com/web/specops-gpupdate.aspx

     


    Guillermo Delprato - MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration --- Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos. --- Buenos Aires, Argentina
    martes, 13 de abril de 2010 11:58
    Moderador

Todas las respuestas

  • Con GPUPDATE se pueden forzar la aplicación de GPOs en forma remota. Revisa GPUPATE /?

    Aunque debes tener en cuenta que todo lo que sea Configuración de Usuario no se aplicará a un usuario local (salvo las Account Policies)

    También hay que tener en cuenta, que algunas configuraciones requieren el reinicio del equipo para que puedan aplicarse, e inclusive en algunos casos hasta 2 o 3 reincios (muy puntuales como la advertencia de inicio de sesión)

     


    Guillermo Delprato - MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration --- Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos. --- Buenos Aires, Argentina
    lunes, 12 de abril de 2010 12:00
    Moderador
  • Con la aplicación GPUpdate se actualizan las directivas de una máquina remota ejecutándola localmente. Puede inducir a confusión el modificador /target que discrimina si aplicar las directivas de equipo o las de usuario independientemente. Con la aplicación PSExec se puede intentar ejecutar GPUpdate remotamente, incluso pasándole un txt con toda la lista de PCs, pero se deben conocer estos PCs y es un proceso bastante lento.

    No se si, modificando la frecuencia de refresco de cada una de las directivas (Configuración de equipo, Plantillas Administrativas, System, Group Policy - Group Policy refresh interval for computers ), si las actualizaría incluso si se está logueado en local.

    martes, 13 de abril de 2010 9:23
  • Hola Jordisans, disculpa que me equivoqué :-(
    No se puede con el GPUPDATE de Windows

    Pero investigando un poco encontré que hay una herramienta gratis que sí lo permite:

    Revisa este enlace a ver si cumple con lo que necesitas
    http://www.specopssoft.com/web/specops-gpupdate.aspx

     


    Guillermo Delprato - MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration --- Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos. --- Buenos Aires, Argentina
    martes, 13 de abril de 2010 11:58
    Moderador