locked
Duda sobre creacion de una GPO en unidad organizativa RRS feed

  • Pregunta

  • Cree una unidad organizativa llamada usuarios, dentro de esta cree una unidad organizativa llamada  usuarios de baja restriccion y otra unidad organizativa llamada  usuarios de alta restricion. Tengo que crear una politica de grupo que prohiba la modificacion del firewall. En cada unidad organizativa tengo un usuario, porque estoy realizando unas pruebas. Les pregunto si puedo crear esta politica a un solo usuario. Tambien les cuento la ruta que segui para llevar a cabo esta politica

    Ruta: Estoy parado en la ventana administraccion de directivas de grupo, luego me voy para la politica del firewall, luego me paro alli y le doy click derecho, luego editar, luego me lleva a una ventana llamada editor de administraccion de directivas de grupo, luego me voy a configuracion de equipo, luego directivas, luego plantillas administrativas, luego red, luego conexiones de red, luego firewall de windows, luego aparece una carpeta llamada perfil de dominio y perfil estandar. Como las maquinas y los usuarios que tengo estan vinculadas a un dominio, entonces supongo que escojo la opcion de perfil de dominio, pero no se de tantas opciones que salen en el perfil de dominio cual habilitar para prohbir la modificacion del firewall en esta maquina. Les pido que me ayuden para que me digan cual opcion se habilita para prohibir la modificacion del firewall.

    saludos y mil gracias por su ayuda.

    sábado, 3 de abril de 2010 6:59

Respuestas

  • Juanes, el segundo hilo de este foro "Como funcionan las Directivas..." si lo lees te va a aclarar bastante más que lo que pueda escribir aquí.

    Una directiva de grupo vinculada a una unidad organizativa se va a aplicar a todas las cuentas que estén en dicha unidad organizativa, y a las que esten "colgando" de esta.

    Por otro lado, un usuario normal, no puede cambiar las opciones del cortafuegos.

     


    Guillermo Delprato - MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration --- Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos. --- Buenos Aires, Argentina
    sábado, 3 de abril de 2010 10:54
    Moderador
  • Juanes, 

    Buenos dias  , llendo por partes ...

    1 ) Todas las  OU creadas en Windows server 2008 por default estan protegidas. Si le das boton derecho a la OU y vas a la solapa Object puedes destildar esta proteccion.

    2 ) En el caso de ver las maquinas , puedes usar la opcion de Buscar , clickeando sobre tu dominio y poner el nombre de la maquina, con eso deberias encontrar el objeto. Si de esa manera no la encuentras quiere decir que la cuenta se ha borrado y en ese caso toca o recuperarla desde un backup o simplemente ingresar la maquina cliente al dominio nuevamente. Esto significa pasar la maquina a un workgroup y luego volverla a incluir en el dominio

     

    De todas maneras te recomendaria que descargues algunos libros como los de microsoft Press , o Active Directory cookbook es un muy buen libro sobre AD. De esa forma podras aclarar varios conceptos. Ya que hay muchas cosas que son muy extensas para tratarlas en un foro :)


    Sebastian del Rio - MCP - MCSA +S - MCSE +S - MCITP:Enterprise Administrator Buenos Aires - Argentina Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho. Ud. asume los riesgos
    sábado, 3 de abril de 2010 19:16
    Moderador
  • Juanes ,

    En el menu VER , en Active Directory users And computers ,  activa la opcion  "Opciones Avanzadas" ( Si mal no recuerdo ). Luego deberias poder ver Object.

    Aqui tienes mas informacion al respecto
    http://blogs.technet.com/industry_insiders/pages/windows-server-2008-protection-from-accidental-deletion.aspx


    Por otro lado para pasar las maquinas a workgroup deberas loguear con el administrador local , y ahi deberias ver la opcion de workgroup.


    Sebastian del Rio - MCP - MCSA +S - MCSE +S - MCITP:Enterprise Administrator Buenos Aires - Argentina Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho. Ud. asume los riesgos
    sábado, 3 de abril de 2010 21:00
    Moderador
  • Juanes ,

    En el siguiente link tienes un excel que explica todas las politicas , una x una y cual es la funcion de la misma puedes buscar ahi para ver que politicas aplican con cada uno de tus items.

    http://www.microsoft.com/downloads/details.aspx?familyid=18C90C80-8B0A-4906-A4F5-FF24CC2030FB&displaylang=en


    Sebastian del Rio - MCP - MCSA +S - MCSE +S - MCITP:Enterprise Administrator Buenos Aires - Argentina Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho. Ud. asume los riesgos
    domingo, 4 de abril de 2010 0:05
    Moderador
  • Juanes , 

    Las politicas aplican a nivel de OU y segun el seteo a nivel de usuario o computador aplicara para los usuarios o computadoras dentro de esa OU. De todas maneras te recomendaria leer los siguientes enlaces para entender un poco mejor cual es el funcionamiento de las politicas de grupo, es bueno afianzar los conceptos antes de implementar las mismas ya que de tener inconvenientes sera mucho mas facil solucionarlos entendiendo el funcionamiento , y procesamiento de las mismas.

    En cuanto a que politica utilizar ... todo depende de lo que quieras restringir .. no hay ninguna que este mal ni bien .. todo depende de las necesidades de restriccion.

    Notas relacionadas : 

    http://social.technet.microsoft.com/Forums/es-ES/wsades/thread/35d227cb-8d34-4ac1-9033-91b5645a027b
    http://technet.microsoft.com/en-us/library/cc784268(WS.10).aspx
    http://technet.microsoft.com/en-us/library/bb742376.aspx
    http://www.windowsnetworking.com/articles_tutorials/Troubleshooting-Group-Policy-Processing.html


    Sebastian del Rio - MCP - MCSA +S - MCSE +S - MCITP:Enterprise Administrator Buenos Aires - Argentina Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho. Ud. asume los riesgos
    lunes, 5 de abril de 2010 4:05
    Moderador
  • Juanes, por favor, como puse en la respuesta anterior, cuando tengas un tema nuevo debes abrir un nuevo hilo.

    Lo anterior es para mantener orden y facilitar la búsqueda de respuestas ya dadas.

    Gracias

     


    Guillermo Delprato - MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration --- Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos. --- Buenos Aires, Argentina
    martes, 6 de abril de 2010 10:37
    Moderador

Todas las respuestas

  • Juanes, el segundo hilo de este foro "Como funcionan las Directivas..." si lo lees te va a aclarar bastante más que lo que pueda escribir aquí.

    Una directiva de grupo vinculada a una unidad organizativa se va a aplicar a todas las cuentas que estén en dicha unidad organizativa, y a las que esten "colgando" de esta.

    Por otro lado, un usuario normal, no puede cambiar las opciones del cortafuegos.

     


    Guillermo Delprato - MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration --- Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos. --- Buenos Aires, Argentina
    sábado, 3 de abril de 2010 10:54
    Moderador
  • Guillermo gracias por tu respuesta. Te cuento que ya me habia leido el segundo hilo sobre las politicas de grupo. cree la politica, pero no se que este haciendo mal que no me funciona. Compruebo en la maquina que esta agregada al dominio y no me aplica la politica que cree. si me puedes explicar paso a paso un ejemplo de como puedo hacer la politica o si sabes de algun videotutorial donde se explique este tema detalladamente. saludos y mil gracias por tu ayuda.
    sábado, 3 de abril de 2010 17:25
  • Tengo una duda estoy en windows server 2008. Me uvico en la ventana de usuarios y equipos de directorio activo quiero eliminar la unidad organizativa usuarios por lo cual doy click derecho, escojo eliminar y me sale este aviso: no tiene suficientes privilegios para eliminar usuarios o bien este objeto esta protegido contra eliminacion accidental. Cuando cree la unidad organizativa estaba marcada la opcion protegido contra eliminacion accidental. Te pregunto si hay alguna forma de eliminar esta unidad organizativa, y como lo puedo hacer.

    Saludos y mil gracias por tu ayuda.

    sábado, 3 de abril de 2010 17:34
  • Guillermo tengo otra pregunta: Borre la unidad organizativa llamada maquinas. Aqui tenia dos maquinas. pero como las borre ya no las veo. Cree nuevamente una unidad organizativa llamada maquinas, quiero agregar las dos maquinas que tenia pero en la carpeta computers no estan las maquinas ya que la habia arrastrado a la unidad organizativa maquinas. Te pregunto como puedo ver las maquinas que tengo en mi dominio y poderlas agregar a las unidades organizativas.

    Saludos y mil gracias por tus respuestas.

     

    sábado, 3 de abril de 2010 18:00
  • Te pregunto si hay alguna manera de que me puedas ayudar a traves de otro medio como chat.

    saludos.

    sábado, 3 de abril de 2010 18:01
  • Juanes, 

    Buenos dias  , llendo por partes ...

    1 ) Todas las  OU creadas en Windows server 2008 por default estan protegidas. Si le das boton derecho a la OU y vas a la solapa Object puedes destildar esta proteccion.

    2 ) En el caso de ver las maquinas , puedes usar la opcion de Buscar , clickeando sobre tu dominio y poner el nombre de la maquina, con eso deberias encontrar el objeto. Si de esa manera no la encuentras quiere decir que la cuenta se ha borrado y en ese caso toca o recuperarla desde un backup o simplemente ingresar la maquina cliente al dominio nuevamente. Esto significa pasar la maquina a un workgroup y luego volverla a incluir en el dominio

     

    De todas maneras te recomendaria que descargues algunos libros como los de microsoft Press , o Active Directory cookbook es un muy buen libro sobre AD. De esa forma podras aclarar varios conceptos. Ya que hay muchas cosas que son muy extensas para tratarlas en un foro :)


    Sebastian del Rio - MCP - MCSA +S - MCSE +S - MCITP:Enterprise Administrator Buenos Aires - Argentina Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho. Ud. asume los riesgos
    sábado, 3 de abril de 2010 19:16
    Moderador
  • Muchas gracias por tu respuesta. te cuento que le doy click derecho a la unidad organizativa y no veo opcion object, estas son las opciones que veo:delegar control - mover - buscar - nuevo - todas las tareas - ver - cortar - eliminar - cambiiar nombre - actualizar - exportar lista - propiedades - ayuda. si me puedes decir donde encuentro objeto. Te cuento que hice lo del domino para ver las maquinas y usuarios y no aparecen.

    Saludos y mil gracias por tu respuesta.

    sábado, 3 de abril de 2010 20:02
  • Como puedo pasar las maquinas a un grupo de trabajo. entro en cada maquina y esta desabilitado la opcion para ingresarlas a un grupo de trabajo.

    Saludos.

     

    sábado, 3 de abril de 2010 20:05
  • Juanes ,

    En el menu ver activa la opcion , Opciones Avanzadas ( Si mal no recuerdo ).

    Por otro lado para pasar las maquinas a workgroup deberas loguear con el administrador local , y ahi deberias ver la opcion de workgroup.


    Sebastian del Rio - MCP - MCSA +S - MCSE +S - MCITP:Enterprise Administrator Buenos Aires - Argentina Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho. Ud. asume los riesgos
    sábado, 3 de abril de 2010 20:59
    Moderador
  • Juanes ,

    En el menu VER , en Active Directory users And computers ,  activa la opcion  "Opciones Avanzadas" ( Si mal no recuerdo ). Luego deberias poder ver Object.

    Aqui tienes mas informacion al respecto
    http://blogs.technet.com/industry_insiders/pages/windows-server-2008-protection-from-accidental-deletion.aspx


    Por otro lado para pasar las maquinas a workgroup deberas loguear con el administrador local , y ahi deberias ver la opcion de workgroup.


    Sebastian del Rio - MCP - MCSA +S - MCSE +S - MCITP:Enterprise Administrator Buenos Aires - Argentina Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho. Ud. asume los riesgos
    sábado, 3 de abril de 2010 21:00
    Moderador
  • Gracias por tu respuesta. apenas estoy realizando pruebas con politicas de grupo para luego implementarlas en una empresa pequeña. Me dijeron que quieren empezar con estas politicas. Me gustaria que me orientaras y me dieras un ejemplo explicado con la ruta para crear una de estas politicas.

    estas son las politicas que debo hacer en las maquinas y usuarios.

    Saludos.

     

    Maquinas de alta restricción:

     

    ·         Prohibir la modificación de firewall

    ·         Prohibir el cambio de actualizaciones automáticas de la maquina se debe actualizar todos los días a las 4:00 PM y que no reinicie automáticamente

    ·         Definir cuotas de disco para la maquina

     

     

    Maquinas baja Restricción:

     

    ·         Prohibir la modificación del firewall pero poder agregar excepciones por los programas.

     

     

    Usuarios de alta restricción:

     

    ·         Quitar el menú juegos del menú de inicio

    ·         No permitir la ejecución del CMD

    ·         Bloquear el comando ejecutar.

    ·         No permitir el cambio del papel tapiz asignado por política

    ·         Prohibir el cambio del proxy definido por URL.

    ·         Bloquear la maquina después e 1 min

    ·         Impedir agregar y eliminar impresoras.

    ·         Prohibir el acceso a las propiedades de la tarjeta de red

    ·         Prohibir la creación de una conexión VPN

    ·         Prohibir agregar elementos al escritorio

    ·         Prohibir internet explorer.

     

    sábado, 3 de abril de 2010 21:23
  • Juanes ,

    En el siguiente link tienes un excel que explica todas las politicas , una x una y cual es la funcion de la misma puedes buscar ahi para ver que politicas aplican con cada uno de tus items.

    http://www.microsoft.com/downloads/details.aspx?familyid=18C90C80-8B0A-4906-A4F5-FF24CC2030FB&displaylang=en


    Sebastian del Rio - MCP - MCSA +S - MCSE +S - MCITP:Enterprise Administrator Buenos Aires - Argentina Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho. Ud. asume los riesgos
    domingo, 4 de abril de 2010 0:05
    Moderador
  • gracias por tu respuesta. Te pregunto si el link que me enviastes tambien se encuentra disponible en español.

    Saludos.

    domingo, 4 de abril de 2010 6:24
  • No conozco el documento en castellano. De todas maneras tendras que empezar a darte ma;a con el ingles. Ya que la mejor documentacion esta solo en ingles en muchas ocasiones . :(
    Sebastian del Rio - MCP - MCSA +S - MCSE +S - MCITP:Enterprise Administrator Buenos Aires - Argentina Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho. Ud. asume los riesgos
    domingo, 4 de abril de 2010 9:56
    Moderador
  • Tengo duda con la creación de esta politica: prohibir modificación de firewall. Ya tengo creada la politica, pero cuando entro en la ruta para activar esta politica me salen estas 11 opciones de firewall, la verdad no se cual de todas aplica esta politica.

    Espero me pueda orientar y decir cual es la correcta.

    Saludos.

    domingo, 4 de abril de 2010 21:07
  • Las politicas de grupo tambien aplican para usuarios y maquinas que nos esten en grupos. Pregunto porque realice unas politicas de grupo en dos maquinas y dos usuarios que tengo en un dominio, pero no me funcionan las politicas de grupo. Espero me puedan ayudar y decir si esto es valido o porque motivo no pueden funcionar las politicas de grupo en una unidad organizativa. Cuando creo la politica de grupo la estoy actualizando con el comando gpupdate /force.

    Saludos y mil gracias por su ayuda.

     

     

    domingo, 4 de abril de 2010 23:35
  • Juanes , 

    Las politicas aplican a nivel de OU y segun el seteo a nivel de usuario o computador aplicara para los usuarios o computadoras dentro de esa OU. De todas maneras te recomendaria leer los siguientes enlaces para entender un poco mejor cual es el funcionamiento de las politicas de grupo, es bueno afianzar los conceptos antes de implementar las mismas ya que de tener inconvenientes sera mucho mas facil solucionarlos entendiendo el funcionamiento , y procesamiento de las mismas.

    En cuanto a que politica utilizar ... todo depende de lo que quieras restringir .. no hay ninguna que este mal ni bien .. todo depende de las necesidades de restriccion.

    Notas relacionadas : 

    http://social.technet.microsoft.com/Forums/es-ES/wsades/thread/35d227cb-8d34-4ac1-9033-91b5645a027b
    http://technet.microsoft.com/en-us/library/cc784268(WS.10).aspx
    http://technet.microsoft.com/en-us/library/bb742376.aspx
    http://www.windowsnetworking.com/articles_tutorials/Troubleshooting-Group-Policy-Processing.html


    Sebastian del Rio - MCP - MCSA +S - MCSE +S - MCITP:Enterprise Administrator Buenos Aires - Argentina Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho. Ud. asume los riesgos
    lunes, 5 de abril de 2010 4:05
    Moderador
  • Juanes, cuando tengas un tema nuevo, por favor, trata de abrir un nuevo hilo, así no se mezclan los temas.

     


    Guillermo Delprato - MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration --- Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos. --- Buenos Aires, Argentina
    lunes, 5 de abril de 2010 10:59
    Moderador
  • Les pregunto algo que quiero que me lo respondan completamente. Les cuento que ya solucione los problemas del DHCP. Ya este me entrega direcciones ip dinamicas a los host del dominio. les pregunto si saben de algun scrip que perimita eliminar los juegos del menu inicio, ya que por politicas no se desactiva.

    Por favor les pido que me especifiquen la ruta y la forma de realizarlo.

    Saludos.

    martes, 6 de abril de 2010 3:59
  • Juanes, por favor, como puse en la respuesta anterior, cuando tengas un tema nuevo debes abrir un nuevo hilo.

    Lo anterior es para mantener orden y facilitar la búsqueda de respuestas ya dadas.

    Gracias

     


    Guillermo Delprato - MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration --- Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos. --- Buenos Aires, Argentina
    martes, 6 de abril de 2010 10:37
    Moderador