none
Problema Directivas de Grupo Windows Server 2008 RRS feed

  • Pregunta

  • Estimados todos, 

    hace un par de días he estado luchando con un Windows Server 2008, el cual es servidor de dominio dhcp y dns

    Yo quiero lograr habilitar las directivas de grupo para restringir a los usuarios de ciertas tareas.

    Ya lo he intentado por mi cuenta, mirando tutoriales y siguiéndolos al pie de la letra, leyendo foros, y ya no me queda otra opción que recurrir a formular mi pregunta en un foro.

    el dominio es "laempresa.cl" el cual dentro tiene una Unidad Organizativa llamada "empresa", la cual contiene grupos y usuarios

    dentro de las directivas del grupo tengo:

    -laempresa.cl

    -GPO1 (anclado)

    -empresa

    -GPO1 (anclado)

    -objetos de directiva de grupo

    -GPO1

    Ya he creado directivas de seguridad (por usuario) en GPO1, y las he asignado al usuario1 donde dice "Filtrado de Seguridad"

    ya he ejecutado gpupdate y he reiniciado servidor y equipo del usuario1, pero nada...

    miércoles, 16 de enero de 2013 14:38

Respuestas

  • Estás tratando de hacer un "comienzo difícil" :-)
    Filtrado de seguridad, además de ser lo más complicado, es general lo que hay que tratar de utilizar menos. Creando una buena estructura de Unidades Organizativas, o inclusive cortando herencia y/o forzando, no es tan frecuente tener que filtrar por permisos

    Estando ya "tan tocada" esa GPO, prueba con una nueva, pero *sin* tocar los permisos y verás que funciona perfectamente :-)

     


    Guillermo Delprato - Buenos Aires, Argentina
    Visite Windows Server - Todos los Paso a Paso
    MVP [Directory Services] - MCT - MCSE - MCSA
    MCSA Windows Server 2012
    MCSA Windows Server 2008 MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory / Network Configuration / Applications Configuration / Server Virtualization / Windows 7 Configuration / Windows 7 & Office 2010 Deployment / Vista Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    • Marcado como respuesta Uriel Almendra lunes, 15 de abril de 2013 15:02
    viernes, 18 de enero de 2013 21:40
    Moderador

Todas las respuestas

  • Kevin,

    Si el entorno como parece es correcto, y la GPO está configurada y linkada a la OU de manera que el usuario/equipo está dentro de ella, los settings deberían aplicarse...

    Desde el servidor puedes usar en la GPMC Group Policy Results para simular la aplicación y ver si está todo bien configurado. Desde la estación puedes usar (en CMD) gpresult /h para ver que GPOs recibe el equipo y user, además de RSOP para verficar los settings aplicados y su origen.

    Recuerda que si la GPO está filtrada por usuario, sólo se aplicarán los settings de esta sección de la GPO.

    • Editado Julian Ros miércoles, 16 de enero de 2013 18:28
    miércoles, 16 de enero de 2013 18:27
  • Tal como dices, hice un gporesult -r en el servidor y dice que el gpo que creé yo, esta inactivo porque fue filtrado, como deshabilito el filtro ??

    ya quité lo que aparecía en Filtrado de seguridad del GPO1 que creé, pero hago denuevo el gporesult -r y nada, continua tal cual (ya hice gpupdate /force)

    miércoles, 16 de enero de 2013 20:09
  • Si está filtrado es que la política no aplica por algun setting de filtrado que has configurado.

    Vamos a ver... Dijiste que habías filtrado la ejecución de GPO por usuario no? Entonces entiendo que los settings de la GPO los configuraste en la sección usuario también.

    A parte, en el gpresult ves el filtrado y ejecución de GPO para usuario y equipo. Aparece filtrado en ambos o en uno de los dos?

    Pega el resultado del gpresult para entenderlo mejor.

    saludos

    Julio Rosua

    miércoles, 16 de enero de 2013 20:24
  • Asi se ve el gpresult...

    http://dl.dropbox.com/u/37045623/screen.jpg


    y asi está el panel de configuracion:

    http://dl.dropbox.com/u/37045623/screen2.jpg

    miércoles, 16 de enero de 2013 20:46
  • Kevin, estás haciendo el GPRESULT en controlador de dominio y con el usuario administrador. Como la GPO la haz puesto específicamente para que afecte únicamente al usuario usuario1. Luego es totalmente lógico que no se la aplique al administrador

    En general, y sobre todo si recién estás comenzando con directivas, hay que tratar de usar escenarios simples

    Hay que tratar siempre de aprovechar la "herencia" que se hace de las directivas, creando una buena jerarquía de Unidades Organizativas, y no andar modificando permisos

    Es muy muy muy raro, y casi te diría que nunca se hace, el crear una directiva para que aplique a un único usuario o máquina

    Quizás este enlace te ayude a comprender un poco más ¿lo haz visto?http://social.technet.microsoft.com/Forums/es-ES/wsgpes/thread/b1b8f0ed-4b91-4475-b311-79188a2f5853

     



    Guillermo Delprato - Buenos Aires, Argentina
    Visite Windows Server - Todos los Paso a Paso
    MVP [Directory Services] - MCT - MCSE - MCSA
    MCSA Windows Server 2012
    MCSA Windows Server 2008 MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory / Network Configuration / Applications Configuration / Server Virtualization / Windows 7 Configuration / Windows 7 & Office 2010 Deployment / Vista Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    miércoles, 16 de enero de 2013 22:57
    Moderador
  • Hola,

    Está claro que si accedes como administrador la política no aplicará... Tienes que hacer logon con el usuario que has definido en el security filtering de la propia GPO, y este debe estar en una OU que reciba está política.

    Además, los usuarios sobre los que quieras que apliquen las GPOs tienen que estar en una OU, esto no incluye los contenedores Users ni Computers en la raiz del directorio.

    saludos

    Julio Rosua

    jueves, 17 de enero de 2013 11:31
  • Gracias Guillermo por el Enlace, me guió bastante

    Hice unas cuantas pruebas, y el gpo(WebPages) funciona correctamente en el usuario administrador, pero en el usuario1, que tiene un windows xp, continua sin funcionar...

    el gpresult -r del servidor es el siguiente: 

    http://dl.dropbox.com/u/37045623/Imagen1.jpg

    se ve claramente que el GPO(WebPages) está habilitado y funcionando, y sí, funciona

    en el panel de Directivos de grupo se ve lo siguiente:

    http://dl.dropbox.com/u/37045623/Imagen2.jpg

    se ve que el GPO(WebPages) está linkeado al dominio (expantours.cl), y a la OU (Expan)

    y en la pestaña delegacion vemos lo siguiente:

    http://dl.dropbox.com/u/37045623/Imagen3.jpg

    ahi se ve que usuarios autentificados (por lo tanto tambien, usuario1) tiene los permisos para leer el GPO.

    Ya no sé que es lo que estoy haciendo mal 

    jueves, 17 de enero de 2013 12:58
  • No alcanza con que tengan permiso de lectura, mira más abajo en la lista de permisos, necesita un permiso que se llama "Aplicar GPO" (en inglés que es lo que recuerdo se llama "Apply Group Policy"

    Si no tiene el permiso "Apply Group Policy" no se le aplicará

     


    Guillermo Delprato - Buenos Aires, Argentina
    Visite Windows Server - Todos los Paso a Paso
    MVP [Directory Services] - MCT - MCSE - MCSA
    MCSA Windows Server 2012
    MCSA Windows Server 2008 MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory / Network Configuration / Applications Configuration / Server Virtualization / Windows 7 Configuration / Windows 7 & Office 2010 Deployment / Vista Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    jueves, 17 de enero de 2013 22:37
    Moderador
  • Sí, está marcado, primero le doy los permisos a administrador, y funciona, luego hago lo mismo para usuario1, de la mismo forma, pero el gpo no llega al equipo...
    viernes, 18 de enero de 2013 15:02
  • Estás tratando de hacer un "comienzo difícil" :-)
    Filtrado de seguridad, además de ser lo más complicado, es general lo que hay que tratar de utilizar menos. Creando una buena estructura de Unidades Organizativas, o inclusive cortando herencia y/o forzando, no es tan frecuente tener que filtrar por permisos

    Estando ya "tan tocada" esa GPO, prueba con una nueva, pero *sin* tocar los permisos y verás que funciona perfectamente :-)

     


    Guillermo Delprato - Buenos Aires, Argentina
    Visite Windows Server - Todos los Paso a Paso
    MVP [Directory Services] - MCT - MCSE - MCSA
    MCSA Windows Server 2012
    MCSA Windows Server 2008 MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory / Network Configuration / Applications Configuration / Server Virtualization / Windows 7 Configuration / Windows 7 & Office 2010 Deployment / Vista Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    • Marcado como respuesta Uriel Almendra lunes, 15 de abril de 2013 15:02
    viernes, 18 de enero de 2013 21:40
    Moderador