none
Pregunta Tonta......pero necesaria, va de Gpo's y grupos... RRS feed

  • Pregunta

  • Buenas noches¡¡ tengo una duda, seguramenteles parezca tonta pero no la saco... el caso es que quisiera aplicar Gpo's a Grupos de usuarios.

    Estas GPO's contienen modificaciones de parametros de inicio de sesion, elementos de menu inicio, etc...

    EL caso es que tengo alojados en la raiz del AD a todos los usuarios en una OU denominada USERS

    A lo largo y ancho del AD quiero ir creando las OU's pertinentes y metiendo en las mismas a GRUPOS  que a su vez tendran incluidos usuarios,

    EL motivo no es otro que el que el mismo user deba aplicarse a diferentes grupos, en consecuencia deban aplicarsele al mismo user diferentes GPO's dependiendo de la pertenencia de su grupo.


    Pues bien el radica en que las GPO's aplicadas sobre los usuarios que cuelgan directamente de las OU's se aplican perfectamente pero si en esas OU's meto grupos de seguridad o distribucion, no hay manera de que se les apliquen esas modificaciones de la GPOS a los componentes de dichos grupos que estan desperdigados en otra ubicacion del AD.

    Agradeceria ayuda.

    Un saludo¡¡
    jueves, 17 de septiembre de 2009 23:49

Respuestas

  • Hola Lorenzo,

    El problema es que las políticas de usuario sólo se aplican a los usuarios, y no a los grupos. Para especificar a qué grupos querés que aplique la GPO, podés ir a las propiedades de la misma y, en la parte de Seguridad, otorgarle al grupo/s en cuestión el permiso "Apply Group Policy". De esa forma, podrías limitar el alcance de la misma según los grupos.

    Tené en cuenta que los usuarios miembros de ese grupo deberían estar todos igualmente bajo el nivel de la OU a la que aplicas dicha política para que sea efectiva (si un usuario está dentro de otra OU a la que no aplica la GPO, la misma no aplicará para dicho usuario, aunque esté dentro del grupo).

    Cualquier otra duda, no dudes en postearla.

    Saludos!
    viernes, 18 de septiembre de 2009 3:35
  • Lorenzo, lo que propones, es complicado, pero funcionará.
    En realidad lo que hay que plantear, creo yo, es el por qué los usuarios están desperdigados por el LDAP.
    La estructura de OUs, tiene como fin específico facilitar la administración de los recursos, y entre ellos los dos principales son "cómo se va a delegar adminstración" y cómo "se aplicarán GPOs"

    Dejando de lado lo primero (delegación) ya que no lo nombras, la estructura de OUs se crea justamente para facilitar la aplicación de GPOs.
    La jerarquía de OUs no necesita reflejar, por ejemplo, el organigrama u organización de la empresa, es sólo para facilitar la administración.

    Repito, la solución que quieres adoptar, va a funcionar, pero trabajarás mucho más y sinceramente no te deseo que te tengas que hacer resolución de problemas con ese sistema :-)

    Guillermo Delprato - MVP-MCT-MCITP-MCTS-MCSE MCITP: Server Administration MCTS:Active Directory/Network Infrastructure Buenos Aires, Argentina
    lunes, 21 de septiembre de 2009 15:48
    Moderador

Todas las respuestas

  • Hola Lorenzo,

    El problema es que las políticas de usuario sólo se aplican a los usuarios, y no a los grupos. Para especificar a qué grupos querés que aplique la GPO, podés ir a las propiedades de la misma y, en la parte de Seguridad, otorgarle al grupo/s en cuestión el permiso "Apply Group Policy". De esa forma, podrías limitar el alcance de la misma según los grupos.

    Tené en cuenta que los usuarios miembros de ese grupo deberían estar todos igualmente bajo el nivel de la OU a la que aplicas dicha política para que sea efectiva (si un usuario está dentro de otra OU a la que no aplica la GPO, la misma no aplicará para dicho usuario, aunque esté dentro del grupo).

    Cualquier otra duda, no dudes en postearla.

    Saludos!
    viernes, 18 de septiembre de 2009 3:35
  • Buenos dias¡¡ ya me levanto de nuevo (pocas horas he dormido, jeje) y me alegra el ver que has respondido¡¡ El caso es que no se a santo de que , me habia hecho a la idea de que SI se podria hacer...es mas, tengo abiertos delante mio los libros del mcp de W2k y W2k3, consultado en todas partes y en ningun lado se comentaba expresamente lo que yo queria.....es uno de los defectos de ser cabezon.

    Gracias por la respuesta directa y concisa, no te imaginas el alivio que supone, ya no sabia donde buscar¡¡

    Saludos¡¡¡
    viernes, 18 de septiembre de 2009 4:50
  • No hay por qué agradecer... Me alegro que te haya servido!

    Saludos!
    viernes, 18 de septiembre de 2009 21:43
  • Al final he dedicido crear todas las GPo's en raiz de dominio y asignar ahi los usuarios y grupos de usuarios en concreto a lo que se les aplicará aunque si bien es cierto que esos grupos puedan estar desperdigados por el interior del arbol LDAP se les aplicarán las politicas correctamente. Y es que era eso lo que pretendia, un punto donde aplicar una GPO a grupos o usuarios dispersados por el arbol Ldap y que independientemente de la ubicacion de estos elementos se les aplicasen los cambios en base a la membresia que hayamos configurado en la GPO.

    Gracias de nuevo¡¡¡
    sábado, 19 de septiembre de 2009 9:07
  • Lorenzo, lo que propones, es complicado, pero funcionará.
    En realidad lo que hay que plantear, creo yo, es el por qué los usuarios están desperdigados por el LDAP.
    La estructura de OUs, tiene como fin específico facilitar la administración de los recursos, y entre ellos los dos principales son "cómo se va a delegar adminstración" y cómo "se aplicarán GPOs"

    Dejando de lado lo primero (delegación) ya que no lo nombras, la estructura de OUs se crea justamente para facilitar la aplicación de GPOs.
    La jerarquía de OUs no necesita reflejar, por ejemplo, el organigrama u organización de la empresa, es sólo para facilitar la administración.

    Repito, la solución que quieres adoptar, va a funcionar, pero trabajarás mucho más y sinceramente no te deseo que te tengas que hacer resolución de problemas con ese sistema :-)

    Guillermo Delprato - MVP-MCT-MCITP-MCTS-MCSE MCITP: Server Administration MCTS:Active Directory/Network Infrastructure Buenos Aires, Argentina
    lunes, 21 de septiembre de 2009 15:48
    Moderador