none
Aplicación de GPO RRS feed

  • Pregunta

  • Buenas noches.

    Quisiera saber si las GPO se suman. Es decir si en tengo varias GPO se aplican sobre un equipo y tienen diferentes configuraciones, estas se van sumando o cual es el concepto aqui? Entiendo que si hay conflicto se aplica la que tiene mayor prioridad.

    Si en mi directiva local de un equipo tengo una configuración y en una gpo que aplica sobre ese equipo esta la configuracion como no definida, se aplica la directiva local? o en este asi no este definida la de dominio prevalece?

    Cuando se aplica filtrado de seguridad solo a los que este ahi se aplicara la GPO?

    Saludos.


    OrlandoP

    domingo, 30 de junio de 2013 3:32

Respuestas

  • Sí, con GPRESULT; tiene varias opciones, la mejor quizás sea /H que genera un fichero HTML con la información completa presentada de forma amigable, como se ve en un informe de GPMC. Por ejemplo:

    P:\> GPRESULT /H gpresult.html

    Esta línea generará el fichero HTML P:\gpresult.html, en el que podrás ver las configuraciones que se aplican al equipo para el usuario que lanza el comando.

    También puedes usar GPMC. En el panel del árbol haces clic derecho sobre Resultados de directivas de grupo, en el menú emergente haces clic en Asistente para Resultados de directivas de grupos; en el asistente especificas el equipo a analizar, el usuario a analizar y se generará el informe. Una cosa, si hay un firewall por medio es posible que tengas problemas, pues es necesario que esté abierto el tráfico de administración remota.

    Una tercera vía es desde una consola MMC, agregando el complemento Conjunto resultante de directivas. Una vez agregado, en el panel del árbol, haces clic derecho en Conjunto resultante de directivas, en el menú emergente clic en Generar datos RSoP..., seleccionas en el asistente el modo registro y te encontrarás con que el asistente pasa a ser idéntico al que utilizaste en GPMC, que he descrito antes.

    Para mí, lo más cómodo y rápido es GPRESULT con la opción /H, pero no siempre podrás iniciar sesión en el equipo que te interesa comprobar, por lo que es son muy interesantes las otras dos opciones.


    Un saludo

    Fernando Reyes [MS MVP]
    MCSA 2000/2003
    MCSE 2000/2003
    MCITP EnterpriseAdministrator
    Web: http://freyes.svetlian.com
    Blog: http://urpiano.wordpress.com
    RSS: http://urpiano.wordpress.com/feed/




    lunes, 1 de julio de 2013 7:06
    Moderador

Todas las respuestas

  • Los GPO se aplican en este orden: local, sitio, dominio y luego según la Unidad Organizativa, y se van sumando las configuraciones.

    Si una directiva está configurada en dos GPO o más GPO, el resultado será la de la última en aplicarse.

    Si una configuración no está definida, entonces no hace ningún cambio.

    Todo este comportamiento puede modificarse por medio de bloqueos de herencia, forzados y filtrado de seguridad, pero hay que usar estas herramientas con precaución.

    El filtrado de seguridad hace que el GPO solo se aplique a los usuarios o equipos que pertenezcan a los grupos que tu indicas en el filtrado.

    Un saludo.

    domingo, 30 de junio de 2013 10:01
  • Hola.

    Entonces; las politicas solo se sobre-escriben en caso de conflictos pero por ejemplo si en la politica local define ciertas configuraciones y en una gpo de dominio no la definí, por el concepto que me dices, la politica se debe sumar y por ende la politica local se aplicaría. Hay forma de ver que politicas se estan aplicando sobre un equipo, incluso si es la politica local.

    Saludos.


    OrlandoP

    lunes, 1 de julio de 2013 0:07
  • Sí, con GPRESULT; tiene varias opciones, la mejor quizás sea /H que genera un fichero HTML con la información completa presentada de forma amigable, como se ve en un informe de GPMC. Por ejemplo:

    P:\> GPRESULT /H gpresult.html

    Esta línea generará el fichero HTML P:\gpresult.html, en el que podrás ver las configuraciones que se aplican al equipo para el usuario que lanza el comando.

    También puedes usar GPMC. En el panel del árbol haces clic derecho sobre Resultados de directivas de grupo, en el menú emergente haces clic en Asistente para Resultados de directivas de grupos; en el asistente especificas el equipo a analizar, el usuario a analizar y se generará el informe. Una cosa, si hay un firewall por medio es posible que tengas problemas, pues es necesario que esté abierto el tráfico de administración remota.

    Una tercera vía es desde una consola MMC, agregando el complemento Conjunto resultante de directivas. Una vez agregado, en el panel del árbol, haces clic derecho en Conjunto resultante de directivas, en el menú emergente clic en Generar datos RSoP..., seleccionas en el asistente el modo registro y te encontrarás con que el asistente pasa a ser idéntico al que utilizaste en GPMC, que he descrito antes.

    Para mí, lo más cómodo y rápido es GPRESULT con la opción /H, pero no siempre podrás iniciar sesión en el equipo que te interesa comprobar, por lo que es son muy interesantes las otras dos opciones.


    Un saludo

    Fernando Reyes [MS MVP]
    MCSA 2000/2003
    MCSE 2000/2003
    MCITP EnterpriseAdministrator
    Web: http://freyes.svetlian.com
    Blog: http://urpiano.wordpress.com
    RSS: http://urpiano.wordpress.com/feed/




    lunes, 1 de julio de 2013 7:06
    Moderador