none
predeterminar una cuenta de usuario local por el directorio activo RRS feed

  • Pregunta

  • para ser mas claro quiero implementar que ciertos grupos del dominio del directorio activo, al loguearse en una maquina X se le configure su perfil local con un perfil definido ya sea power user, administrador u otro para evitar conectarse remotamente despues a darle los privileguios del perfil
    martes, 14 de junio de 2011 17:11

Respuestas

  • Hola Dunuke:

    Resumiendo, estás buscando una directiva que vincule automáticamente el grupo Domain users al grupo local Power users de tus equipos. De esta forma, un usuario del dominio será usuario Power user en el equipo que se loguee.

    Si es esto lo que estás buscando, tienes la siguiente directiva, que has de aplicar a los equipos de tu dominio:

    Dentro de la GPO
      Configuración del equipo
        Directivas (este nodo solo está si es un W2008)
          Configuración de Windows
            Configuración de seguridad
               Grupos restringidos

    Con el botón secundario del ratón sobre Grupos restringidos, selecciona "Agregar grupo", y escribe el nombre exacto del grupo (en tu caso, "Power users", no?, o "Usuarios avanzados" si está en español). Si le das a Examinar buscará por defecto los grupos del dominio y creo que ese no está, así que tienes que escribirlo.
    Una vez le des a Aceptar podrás agregar los miembros que estimes oportunos (por ejemplo, Domain users).

    MUY IMPORTANTE: ten cuidado, porque la lista de miembros se elimina y se pone la de la directiva. Lo digo por si tienes miembros ya agregados.

    Cierra la GPO y reinicia los equipos clientes, o bien, haz un GPUPDATE /FORCE en ellos.

    Si tienes Windows Server 2008 tienes otra posibilidad, consistente en utilizar "Preferencias de directiva de grupo":

    Dentro de la GPO
     Configuración del equipo (también está disponible a nivel de usuario)
        Configuración del Panel de control
          Usuarios y grupos locales

    Las preferencias de grupo son más flexibles, contemplando más configuraciones.

    Saludos

     


    Agustín Morales H. / Blog Agustín Morales H. Formación
    MCT Microsoft Certified Trainer
    MCITP Enterprise Administrator Windows Server 2008
    MCITP Server Administrator Windows Server 2008
    MCSE Windows Server 2003 / 2000 / NT 4.0
    MCSA Windows Server 2003 / 2000


    miércoles, 15 de junio de 2011 19:14

Todas las respuestas

  • Dunuke, los perfiles de usuario no tienen que ver con los privilegios de determinados grupos. El perfil guarda todo lo que el usuario pueda personalizar en su sesión.

    Para que tenga privilegios de Power User, Administrator, etc. lo que debes hacer es incluir la cuenta del usuario (del dominio) dentro de los grupos locales que desees (Power Users, Administrators, etc.)

     


    Guillermo Delprato - Buenos Aires, Argentina
    Visite Notas Windows Server
    MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.
    miércoles, 15 de junio de 2011 13:34
    Moderador
  • a ver si de esta forma si me entiendes quiero implementar que el grupo de dominio de los usuarios normales del directorio activo "domain users", al loguearse en una maquina X del dominio el perfil local power users sea el predeterminado para dichos usuarios ya que el que se elije por defaul es users.

    miércoles, 15 de junio de 2011 18:40
  • Hola Dunuke:

    Resumiendo, estás buscando una directiva que vincule automáticamente el grupo Domain users al grupo local Power users de tus equipos. De esta forma, un usuario del dominio será usuario Power user en el equipo que se loguee.

    Si es esto lo que estás buscando, tienes la siguiente directiva, que has de aplicar a los equipos de tu dominio:

    Dentro de la GPO
      Configuración del equipo
        Directivas (este nodo solo está si es un W2008)
          Configuración de Windows
            Configuración de seguridad
               Grupos restringidos

    Con el botón secundario del ratón sobre Grupos restringidos, selecciona "Agregar grupo", y escribe el nombre exacto del grupo (en tu caso, "Power users", no?, o "Usuarios avanzados" si está en español). Si le das a Examinar buscará por defecto los grupos del dominio y creo que ese no está, así que tienes que escribirlo.
    Una vez le des a Aceptar podrás agregar los miembros que estimes oportunos (por ejemplo, Domain users).

    MUY IMPORTANTE: ten cuidado, porque la lista de miembros se elimina y se pone la de la directiva. Lo digo por si tienes miembros ya agregados.

    Cierra la GPO y reinicia los equipos clientes, o bien, haz un GPUPDATE /FORCE en ellos.

    Si tienes Windows Server 2008 tienes otra posibilidad, consistente en utilizar "Preferencias de directiva de grupo":

    Dentro de la GPO
     Configuración del equipo (también está disponible a nivel de usuario)
        Configuración del Panel de control
          Usuarios y grupos locales

    Las preferencias de grupo son más flexibles, contemplando más configuraciones.

    Saludos

     


    Agustín Morales H. / Blog Agustín Morales H. Formación
    MCT Microsoft Certified Trainer
    MCITP Enterprise Administrator Windows Server 2008
    MCITP Server Administrator Windows Server 2008
    MCSE Windows Server 2003 / 2000 / NT 4.0
    MCSA Windows Server 2003 / 2000


    miércoles, 15 de junio de 2011 19:14
  • exactamente eso era lo que estaba buscando lo pondre en practica a ver


    una consulta en la pantalla para agregar los grupos o usuarios esta dividida en dos donde colocaria el grupo domain users en la 1° o en la 2° ventana?

     

    he provado colocando en ambas el domain user y aun mi usuario de prueba sigue sin ser power user que puede estar pasando?

    miércoles, 15 de junio de 2011 22:01
  • Hola Dunuke:

    Tienes que colocarlo en la sección superior. Ahí sí debes utilizar el botón Agregar y después Examinar para buscar el grupo Domain users. Cuando agregues el grupo tiene que aparecer como [NOMBRE_DE_TU_DOMINIO]\Domain users.

    Haz la siguiente prueba:

    Crea en tu Active Directory una OU llamada TEST, y crea y vincula una GPO llamada GPO TEST a ella. Configura la GPO tal como hemos comentado anteriormente. Asegúrate de que pones el nombre del grupo Power users tal cual aparece en el equipo cliente (están en inglés?).

    Después, mueve la cuenta de un equipo de prueba a esa OU. Si tienes más de un Controlador de dominio, espera un poquito, o si no, fuerza la replicación.

    Realiza un GPUPDATE /FORCE en el equipo cliente de prueba.

    Comprueba el grupo local Power users del equipo de prueba. Tiene que tener como miembro al grupo Domain users de tu dominio. Cierra la sesión e inicia con un usuario del dominio.

    Prueba y dinos si funciona.

    Saludos

     


    Agustín Morales H. / Blog Agustín Morales H. Formación
    MCT Microsoft Certified Trainer
    MCITP Enterprise Administrator Windows Server 2008
    MCITP Server Administrator Windows Server 2008
    MCSE Windows Server 2003 / 2000 / NT 4.0
    MCSA Windows Server 2003 / 2000





    jueves, 16 de junio de 2011 8:00
  • Buenas

    si todo esta en ingles te comento que ya funciono, se agrego a power users el grupo domain admin, pero otra duda en el grupo local Users tambien esta agregado automaticamete el Domain users cree con los pasos anteriores una politica pero digamos que invertida Users "Menber Of" domain users, la cual elimina domain user del grupo local Users pero sucede que no pueo entrar despues con mi usuario de prueba si lo aplico asi y aparte de eso la cuenta users local tiene unas sid .(s-1-5-11) y (s-1-5-4) tendra algo que ver?

    jueves, 16 de junio de 2011 16:31
  • Hola Dunuke:

    Sí, el grupo Domain users se agrega automáticamente al grupo local Users de los equipos cuando éstos se integran en el dominio. Es una configuración que te recomiendo dejes así, ya que de esta forma los usuarios del dominio heredarán los privilegios y configuraciones de seguridad apropiados.

    De todas formas, no sé si comprendí bien el objetivo de tu última operación: ¿quieres eliminar el grupo Domain Users del grupo local Users? Como te dije antes, no te lo recomiendo, pero si quieres experimentar con un equipo de prueba puedes hacer lo siguiente: en la GPO, en la directiva Grupos restringidos, puedes definir el grupo Users, pero no le agregues ningún miembro, simplemente defínelo y déjalo vacío. Verás que cuando hagas el GPUPDATE /FORCE el grupo se vaciará.

    Saludos

     


    Agustín Morales H. / Blog Agustín Morales H. Formación
    MCT Microsoft Certified Trainer
    MCITP Enterprise Administrator Windows Server 2008
    MCITP Server Administrator Windows Server 2008
    MCSE Windows Server 2003 / 2000 / NT 4.0
    MCSA Windows Server 2003 / 2000


    jueves, 16 de junio de 2011 18:27
  • exactamente era solo de prueba

     

    otra cosa hoy intente usar el gpupdate /force y me dice lo siguiente

       User Policy Refresh has not completed in the expected time. Exiting...
       User Policy Refresh has completed.
       Computer Policy Refresh has not completed in the expected time. Exiting...
       Computer Policy Refresh has completed.

     

    alguna idea del porque ya que no tengo idea del porque no esta funcionando

    martes, 21 de junio de 2011 21:02
  • Hola Dunuke:

    ¿Tienes la configuración DNS correcta? En la configuración TCP/IP de tu Controlador has de tener como servidor DNS apuntando a su propia IP, nunca la de un ISP (proveedor).

    De igual forma, en el equipo cliente has de configurar como servidor DNS únicamente la IP de tu controlador de dominio.

    Asegúrate en el servidor DNS de tu controlador que los nombres registrados en la zona correspondiente a tu dominio tengan la IP correcta. Es por si se realizó algún cambio de nombre o IP y el DNS no lo registró.

    También te preguntaría si te pasa en todos los equipos clientes. Prueba a hacerlo también en el controlador. Es para comprovar si es un problema general o solo del cliente.

    Saludos 


    Agustín Morales H. / Blog Agustín Morales H. Formación
    MCT Microsoft Certified Trainer
    MCITP Enterprise Administrator Windows Server 2008
    MCITP Server Administrator Windows Server 2008
    MCSE Windows Server 2003 / 2000 / NT 4.0
    MCSA Windows Server 2003 / 2000

    martes, 21 de junio de 2011 21:58
  • enrealidad me esta pasando con todos los equipos de la red no se que cambio habra hecho alguna de las otras areas que ahora no se actualizan las politicas

    use el gpupdate /force en el controlador de dominio y no actualizo tampoco

    miércoles, 22 de junio de 2011 14:06
  • Hola Dunuke:

    Cuando te refieres "no se que cambio habra hecho alguna de las otras areas" es que hay otros administradores configurando el dominio?

    Que no se actualicen las directivas puede deberse a varios motivos (configuración DNS, permisos en SYSVOL...). Sería bueno que examinases el visor de eventos (sistema y aplicación) y revisases los errores, a ver si puedes obtener más información. Si no, ya tendrías que empezar a realizar diagnósticos con DCDIAG y NETDIAG.

    Saludos

     


    Agustín Morales H. / Blog Agustín Morales H. Formación
    MCT Microsoft Certified Trainer
    MCITP Enterprise Administrator Windows Server 2008
    MCITP Server Administrator Windows Server 2008
    MCSE Windows Server 2003 / 2000 / NT 4.0
    MCSA Windows Server 2003 / 2000
    jueves, 23 de junio de 2011 0:03
  • si hay otras areas que pueden hacer cambios en el dominio al igual que modificaciones en los servidores

     

    a la final desactive las politicas espere un rato y las volvi a activar y no se porque pero comenzo a funcionar  denuevo el gpupdate

     

    ahora tengo otra consulta ¿hay alguna forma de que una politica en el dominio no me afecte a auna aplicada en una OU?

    jueves, 23 de junio de 2011 18:03
  • Hola:

    No sé si te refieres a "Bloquear herencia". Por ejemplo, si bajo tu dominio creas la "OU A", puedes bloquear la herencia de políticas en dicha OU, de tal forma que, Objetos de Políticas de Grupo (GPO) especificadas a nivel de dominio, no se aplicarán a los objetos (usuarios y equipos) de la OU A, siempre que las GPO de dominio no estén configuradas como "No Override".

    Saludos


    Agustín Morales H. / Blog Agustín Morales H. Formación
    MCT Microsoft Certified Trainer
    MCITP Enterprise Administrator Windows Server 2008
    MCITP Server Administrator Windows Server 2008
    MCSE Windows Server 2003 / 2000 / NT 4.0
    MCSA Windows Server 2003 / 2000
    jueves, 23 de junio de 2011 23:18
  • exactamente me refiero a eso

     

    vasta solo con marcar la casilla de block policy inheritance o hay que marcar no override en la OU donde no quiero que la politica en el dominio me afecte ya que lo mencionas la politica del dominio tenia marcada No Override se la desactive segun te entendi.

    sábado, 25 de junio de 2011 16:54
  • Hola:

    Si la GPO del dominio tenía la opción No Override marcada, esta GPO prevalecerá sobre la que se encuentre en la OU A, incluso si has bloqueado la herencia en la OU A. Si has desmarcado el No Override de la GPO del dominio, tendrás lo siguiente: se aplicará la GPO del dominio y después la GPO de la OU A (se suman). En caso de existir políticas de ambas GPOs que entren en conflicto, prevalecerán las de la GPO de la OU A (la última en llegar). Si este comportamiento te basta, no será necesario que bloquees la herencia en la OU A.

    Ahora bien, si decides bloquear la herencia en la OU A, el resultado será que los usuarios o equipos (según lo que definas en la GPO) de la OU A recibirán las políticas de la GPO de la OU, ignorando la GPO de dominio, ya que ésta no se propagará a la OU al estar bloqueada la herencia.

    Cuidado, porque si tenías inicialmente marcada la opción No override en la GPO de dominio por algún motivo, y ahora lo desmarcas, podría afectar al resto de OUs que tengas en tu Active Directory.

    Saludos

     


    Agustín Morales H. / Blog Agustín Morales H. Formación
    MCT Microsoft Certified Trainer
    MCITP Enterprise Administrator Windows Server 2008
    MCITP Server Administrator Windows Server 2008
    MCSE Windows Server 2003 / 2000 / NT 4.0
    MCSA Windows Server 2003 / 2000

    sábado, 25 de junio de 2011 19:59