none
GPO bloquear USB RRS feed

  • Pregunta

  • Buen día,

    Es primera vez que uso esta herramienta para preguntar algo, así que bueno espero poder recibir su ayuda.

    Cree una directiva de grupo que bloquea toda usbque se conecte a los equipos, le hice un link a cada grupo que tengo creado en el directorio activo para que se active, le hice un gpupdate /force para que la tomara, y en gpresult /r puedo ver que el equipo la esta tomando es esa que se llama BlockUsb:

    Pero el equipo no bloquea la USB, sigue funcionando normalmente, ahora bien, si coloco esa política en la GPO Default Domain Policy la toma inmediatamente haga el gpupdate /force sin problema alguno. Si pueden notar también otra política allí que se llama DesktopWallpaper la cual también cree y que toma el/los equipos sin problema alguno. Pero ya he probado varias cosas y definitivamente no quiere bloquear las USB.

    Aqui dejo como la tengo configurada: No puedo poner imagenes por que no han confirmado la cuenta, pero es la configuracion sencilla de Computer Configuration/Administrative Template/System/Removable Storage Access y puse como enabled all removable storage classes : Deny All access

    Que puede ser? por que una si la toma y la otra no?, intente configurar la politica en el gpo del wallpaper y dejar solo esa, pero no funciono, reinicie la maquina varias veces y tampoco, le hice un gpupdate /sync como admin y tampoco dejo. Espero puedan ayudarme con el caso, ya que en Internet no encontré algo sobre esto.

    martes, 18 de octubre de 2016 22:30

Respuestas

  • ¿En la OU donde aplicas esa GPO tienes, además de las cuentas de usuario, las cuentas de los equipos de los usuarios? Porque la causa más común de que una GPO no haga nada visible es que la rama "Configuración de Equipo" se aplica a cuentas de equipo (y tienen que estar bajo el ámbito de aplicación de la GPO), y la rama "Configuración de Usuario" se aplica a cuentas de usuario.

    Si las cuentas de equipo están en su OU por defecto "Computers" y la GPO está aplicada a la OU "Desarrollo" en la que sólo estén cuentas de usuario, sería la causa más común de que en los equipos de los usuarios sólo se apliquen ciertas políticas, que serían las establecidas en la rama "Configuración de usuario" de la GPO, mientras que las establecidas en la rama "Configuración de equipo" se ignorarían en las cuentas de los equipos. De ahí también que si la política la defines en la GPO del dominio sí se aplique a las cuentas de los equipos, pues en ese nivel la GPO se aplica a todas las OU.


    Saludos
    José Antonio Quílez
    Mi Blog

    • Marcado como respuesta Sserje06 miércoles, 19 de octubre de 2016 19:08
    miércoles, 19 de octubre de 2016 17:04
    Moderador

Todas las respuestas

  • Hola Sserje06, me parece que el problema es que, como a muchos,  te ha confundido el nombre mal traducido como "Directiva de Grupo". Personalmente hubiera preferido "Conjuto de directivas" o "Conjunto de configuraciones", porque no tiene relación con los Grupos de Dominio o Locales

    Una Directiva, o como comunmente se la llama GPO, para que tenga efecto hay que enlazarla a un:

    • Sitio
    • Dominio
    • Unidad Organizativa
       

    No se puede enlazar a un grupo

    Si la configuración que aplicas está en la parte "Computer configuration" entonces tiene que estar enlazada la Unidad Organizativa donde estén las cuentas de máquinas

    Y análogamente, si está en "User configuration" debe estar enlazada a la Unidad Organizativa donde están las cuentas de usuario

    Por supuesto que si la enlazas a nivel del Dominio, afectará a todos, ya que todas las máquinas y usuarios están en el Dominio

    Creo que lo que te está sucediendo viene por ese tema. Por si te sirve dejo un enlace

    Cómo Funcionan las Directivas de Grupo (GPOs) | WindowServer:
    https://windowserver.wordpress.com/2011/02/10/como-funcionan-las-directivas-de-grupo-gpos/

    Respecto al tema de poner capturas de pantalla, mientras no te permita acá, puedes ponerlas en cualquiera de los sitios que permiten poner archivos y compartirlos públicamente, por ejemplo OneDrive

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    miércoles, 19 de octubre de 2016 9:42
    Moderador
  • Gracias por tu pronta respuesta Guillermo,

    Quizá use la palabra grupo la cual no fue correcta, estoy enlazando la GPO a una unidad Organizativa, como mencione anteriormente, tengo dos gpo que le enlace a la unidad organizativa "Desarrollo", una es la del desktop que aplica un wallpaper definido, esta gpo la aplica y ejecuta sin problema alguno a la unidad organizativa "Desarrollo". Entonces cree otra gpo que va a bloquear toda unidad de DD externo la cual enlace a la Unidad y procedí a hacer un gpupdate /force y un gpresult /r donde puedo ver claramente que la aplica, pero no la ejecuta, no bloquea la usb.

    Ya tengo claro que las gpo no se pueden aplicar a grupos, la gpo saldría en el grupo gpresult /r : 

    Los objetos GPO siguientes no se aplicaron porque fueron filtrados

    nombre_de_GPO

    pero en cambio esta sale:

       Objetos de directiva de grupo aplicados
       ----------------------------------------
           Default Domain Policy

    DesktopWallpaper

    BlockUsb

    Pero no se aplica.

    miércoles, 19 de octubre de 2016 13:56
  • ¿En la OU donde aplicas esa GPO tienes, además de las cuentas de usuario, las cuentas de los equipos de los usuarios? Porque la causa más común de que una GPO no haga nada visible es que la rama "Configuración de Equipo" se aplica a cuentas de equipo (y tienen que estar bajo el ámbito de aplicación de la GPO), y la rama "Configuración de Usuario" se aplica a cuentas de usuario.

    Si las cuentas de equipo están en su OU por defecto "Computers" y la GPO está aplicada a la OU "Desarrollo" en la que sólo estén cuentas de usuario, sería la causa más común de que en los equipos de los usuarios sólo se apliquen ciertas políticas, que serían las establecidas en la rama "Configuración de usuario" de la GPO, mientras que las establecidas en la rama "Configuración de equipo" se ignorarían en las cuentas de los equipos. De ahí también que si la política la defines en la GPO del dominio sí se aplique a las cuentas de los equipos, pues en ese nivel la GPO se aplica a todas las OU.


    Saludos
    José Antonio Quílez
    Mi Blog

    • Marcado como respuesta Sserje06 miércoles, 19 de octubre de 2016 19:08
    miércoles, 19 de octubre de 2016 17:04
    Moderador
  • Tiene mucho sentido lo que dices Jose Antonio, voy a probar y te cuento como me va.
    miércoles, 19 de octubre de 2016 18:34
  • Excelente Jose Antonio, eso era, hice OU de todos los equipos del dominio y le aplique la GPO de (computer configuration) y de una después del gpupdate bloqueo las unidades externas. Muchas gracias por tu ayuda y aclaración.


    miércoles, 19 de octubre de 2016 19:08