none
GPOs no aplican a clientes XP RRS feed

  • Pregunta

  • Hola buenas tardes por ahi he estado tratando de configurar algunas politicas de usuarios para que no tengan acceso al panel de control y no me puedan cambiar el papel tapiz, pero las he usado desde el group policy management segun aplicadas a una OU del dominio que tengo, solo que las he aplicado desde el Default Domain policy y afectan a mi usuario administrador en mi equipo local de servidor, y a los clientes de XP conectados en la red no les afecta en nada

    los usuarios conectados estan almacenados en una OU para la empresa pero no se ven afectados por la restricciones que he coladado en  Default Domain policy que puedo hacer pra que los clientes tomen esta configuracion, hay que actualizar desde los clientes algo, en forma manual o cuando esta cargando su configuracion personal deberia hacerlo?

    Otra duda como puedo hacer para que el Default Domain policy no afecte a mi usuario administrador de servidor.

    ojala me puedan ayudar he pasado horas tratandoo esto y soy nuevo en estas cuestiones pero quiero aprender lo mas que se pueda.

    viernes, 22 de mayo de 2009 18:24

Respuestas

  • Adrian ,
    Si la politica se esta aplicando en tu servidor , ya que lo notas con el usuario administrador , y no en los clientes asegurate que en la OU donde se encuentren las computadoras y usuarios no tengas bloqueada la herencia de politicas. Puedes ejecutar en uno de tus clientes gpresult y verificar si la default domain policy se esta aplicando o no.

    Por otro lado si quieres desafectar al usuario administrador , puedes hacerlo mediante la GPMC modificando los permisos de la politica deberias modificar las opciones de seguridad para que las mismas apliquen solo a los grupos que tu quieras.


    Slds
    Sebastian del Rio
    Saludos. Colabora con el foro y vota si el mensaje es util.
    sábado, 23 de mayo de 2009 10:26
    Moderador
  • Adrian ,

    En principio no es molestia :)
    Para verificar a quien puede aplicar la politica puedes hacerlo descargando la Group Policy Management Console (GPMC) desde la pagina de microsoft. Luego cuando la abres despliegas el dominio y seleccionas la Default Domain Policy, en el panel de la derecha tienes la segunda opcion que dice Permitir que est apolitica aplique a los siguientes grupos.
     

    Por otro lado en cuanto al gpresult creo lo estas ejecutando en Inicio - Ejecutar no ? En ese caso primero abre una ventana de comandos poniendo CMD en inicio - ejecutar y luego en la ventana de comandos ejecuta gpresult, postea el resultado aqui asi vemos si realmente la politica se esta aplicando o no en los clientes.

    Slds
    Sebastian del Rio


    Saludos. Colabora con el foro y vota si el mensaje es util.
    sábado, 23 de mayo de 2009 21:37
    Moderador

Todas las respuestas

  • Saludos Adrian...
    en relacion a tu pregunta, te sugiero como buena practica no saturar la default domain policy....
    en caso que desees modificar el papel tapiz y el acceso a control panel, puedes crear politicas por separado, tendras mejor control de esa manera...
    asegurate que la OU donde tienes almacenados a los usuarios este linkeada con la GPO...
    las politicas de AD se actualizan automaticamente cada 90 minutos aproximadamente...
    puedes forzar la aplicacion de una politica en especifico con el siguiente comando: gpupdate /force, para ver las politicas resultantes aplicadas a un equipo particular puedes ejecutar: gpresult....
    espero esta info. te sirva de algo.

    AIB
    sábado, 23 de mayo de 2009 4:26
  • Adrian ,
    Si la politica se esta aplicando en tu servidor , ya que lo notas con el usuario administrador , y no en los clientes asegurate que en la OU donde se encuentren las computadoras y usuarios no tengas bloqueada la herencia de politicas. Puedes ejecutar en uno de tus clientes gpresult y verificar si la default domain policy se esta aplicando o no.

    Por otro lado si quieres desafectar al usuario administrador , puedes hacerlo mediante la GPMC modificando los permisos de la politica deberias modificar las opciones de seguridad para que las mismas apliquen solo a los grupos que tu quieras.


    Slds
    Sebastian del Rio
    Saludos. Colabora con el foro y vota si el mensaje es util.
    sábado, 23 de mayo de 2009 10:26
    Moderador
  • Sebastian, me parece muy util la respuesta solo que mencionas algo de lo cual pues no tengo conocimiento es lo siguiente como puedo saber si tengo bloquedas las herencias en mis clientes ejecuro gpresult y solo me pone la pantalla negra de consola pero no me despliega informacion a continuacion se cierra y no vi ningun dato que me afirme esto que me dices, sabes algun otro comando y algo que se le agregue al mismo

    lo segundo que me dices pues si entiendo a groso modo pero como se haria esto, si entro y todo pero no me hubico donde podria cambiar eso que me dices de aquienes afectan estas politicas.

    saludos espero no sea mucha molestia estar dando lata con esto pero pues me gusta aprender y de la nada no se aprende mil gracias por el apoyo y espero seguir en contacto.
    sábado, 23 de mayo de 2009 13:36
  • Hola amigo eso que me dices es nuevo para mi, crear una nueva politica de  usuario , de hecho si se me ocurrio y la cree pero como puedo hacer para linkearla y aplicarla a una OU, y como le comento a Sebastian ejecuto en los clientes gpresult y no me da informacion de hecho no me dice nada por que solo dice unas cosas y pasan rapido, este comando hace algun archivo donde pueda leer esta informion o algo para pausarlo y leerlo a ver si se estan o no aplicando

    tambien por ahi lei y  habiliete el user group policy loopback processing mode para usar el modo de procesamiento inverso algo asi, para que las politicas en los clientes sustituyan las locales por las de dominio.

    si me orientas mas sobre como creear una GPO independiente de la default y linkearla tal ves asi podria ser.

    saludos y espero no sea muy molesto estar atendiendo a un novato jeje saludos

    ADR
    sábado, 23 de mayo de 2009 13:42
  • Adrian ,

    En principio no es molestia :)
    Para verificar a quien puede aplicar la politica puedes hacerlo descargando la Group Policy Management Console (GPMC) desde la pagina de microsoft. Luego cuando la abres despliegas el dominio y seleccionas la Default Domain Policy, en el panel de la derecha tienes la segunda opcion que dice Permitir que est apolitica aplique a los siguientes grupos.
     

    Por otro lado en cuanto al gpresult creo lo estas ejecutando en Inicio - Ejecutar no ? En ese caso primero abre una ventana de comandos poniendo CMD en inicio - ejecutar y luego en la ventana de comandos ejecuta gpresult, postea el resultado aqui asi vemos si realmente la politica se esta aplicando o no en los clientes.

    Slds
    Sebastian del Rio


    Saludos. Colabora con el foro y vota si el mensaje es util.
    sábado, 23 de mayo de 2009 21:37
    Moderador