none
GPO indebidamente aplicada RRS feed

  • Pregunta

  • Hola,

    El problema es el siguiente: Se realizó una migración de dominio y algunos equipos aparentemente quedaron "pegados" al dominio anterior ya que las políticas que se aplican a estos son del dominio antiguo. Esto lo veo haciendo un gpresult -user:username /v, en "Applied Group Policy Objects" aparece el nombre de la GPO del dominio anterior.

    Los equipos ya han sido ingresados al nuevo dominio. Como puedo solucionar esto?

    Ps. La migración se realizó practicamente manual, es decir se creo los equipos y usuarios en el nuevo dominio, no se utilizó ADMT.


    Diego Caccire Windows System Administrator
    viernes, 25 de febrero de 2011 23:09

Respuestas

  • Hola,

    Es un buen punto que el dominio anterior aun este funcionando..., con respecto a ADMT, pueden haberlo utilizado, recuerda que SIEMPRE se genera un nuevo SID al momento de la migracion, quien realiza la misma, esta en habilitar o no lo que es el SID History para mantener como "segundo SID" el que tenia en el anterior dominio.., seguramente en el caso que tienes presente, eso no lo realizaron porque no lo necesitarian..

    OK, si ya has forzado el cliente para que tome las actuales politicas y aun asi mantienes el problema (forzandolo con gpupdate /force), mi recomendacion seria migrar las politicas anteriores al nuevo ambiente, forzar a que apliquen e irlas borrando luego para ver si definitivamente impactan en el cliente.

    Este tema le pasa a todos los clientes o hay algunos que no?, no hay objetos duplicados (computers/users) en ambos dominios que tengan el mismo SID?, la relacion de confianza que comentas que existe actualmente, es por algo?, osea si cortaras la misma y vez de forzar la politica en los clientes, que ocurre?.

    La migracion fue de AD2003 a ADDS2008/R2? o son dos dominios de igual version?

    Salu2


    Leonardo Ponti MCSA - MCSE - MVA - MAP
    • Marcado como respuesta Ismael Borche domingo, 24 de abril de 2011 17:37
    sábado, 26 de febrero de 2011 21:39
    Moderador

Todas las respuestas

  • Hola,

    1) El dominio anterior lo tienes activo como para exportar las politicas anteriores?

    2) Podrias comentarnos paso a paso como realizaste la migracion de los objetos maquina y usuarios?

    3) De no tener el dominio anterior activo, tendriamos backup reciente de las politicas?

    Salu2


    Leonardo Ponti MCSA - MCSE - MVA - MAP
    sábado, 26 de febrero de 2011 15:47
    Moderador
  • Hola,

    1) Ambos dominios estan activos y hay una relacion bidireccional externa entre ellos.

    2) Cuando me dieron la responsabilidad de migrar, encontre usuarios y maquinas con el mismo nombre pero con diferente SID asi que asumo que no usaron ADMT.

    3) Ambos dominios estan activos y operando aun.

     

    Gracias


    Diego Caccire Windows System Administrator
    sábado, 26 de febrero de 2011 19:03
  • Hola,

    Es un buen punto que el dominio anterior aun este funcionando..., con respecto a ADMT, pueden haberlo utilizado, recuerda que SIEMPRE se genera un nuevo SID al momento de la migracion, quien realiza la misma, esta en habilitar o no lo que es el SID History para mantener como "segundo SID" el que tenia en el anterior dominio.., seguramente en el caso que tienes presente, eso no lo realizaron porque no lo necesitarian..

    OK, si ya has forzado el cliente para que tome las actuales politicas y aun asi mantienes el problema (forzandolo con gpupdate /force), mi recomendacion seria migrar las politicas anteriores al nuevo ambiente, forzar a que apliquen e irlas borrando luego para ver si definitivamente impactan en el cliente.

    Este tema le pasa a todos los clientes o hay algunos que no?, no hay objetos duplicados (computers/users) en ambos dominios que tengan el mismo SID?, la relacion de confianza que comentas que existe actualmente, es por algo?, osea si cortaras la misma y vez de forzar la politica en los clientes, que ocurre?.

    La migracion fue de AD2003 a ADDS2008/R2? o son dos dominios de igual version?

    Salu2


    Leonardo Ponti MCSA - MCSE - MVA - MAP
    • Marcado como respuesta Ismael Borche domingo, 24 de abril de 2011 17:37
    sábado, 26 de febrero de 2011 21:39
    Moderador
  • Hola,

    Migrar las políticas del antiguo al nuevo dominio dices? Ok probaré haciendo eso pero no creo que ayude mucho, el problema es que algunos equipos no ven al nuevo dominio sino al antiguo a pesar de que la estan matriculadas en el nuevo cuentas de usuario y computadoras.

    Esto lo veo en "Group Policy Management" en la opción de "Group Policy Results", veo que la "Winning GPO" es una política del dominio anterior que supuestamente ya no debe coger.

    Probaré lo que me dices a ver que pasa.

    Sls


    Diego Caccire Windows System Administrator
    lunes, 28 de febrero de 2011 14:28