none
Pregunta tonta de GPO. RRS feed

  • Pregunta

  • Hola,

    Tengo una duda tonta, que seguro que me sabéis solucionar enseguida. Resulta que administro (en parte) una red, y no tengo acceso al directorio activo, con lo cual no puedo examinar las GPO's que hay aplicadas en las diferentes unidades organizativas ni en el dominio, pero me han pedido que haga un informe de por qué los usuarios no pueden hacer una cosa, y no me acuerdo dónde se configuraba eso.

    La cuestión es que ningún usuario del dominio que no pertenezca a un grupo creado con permisos especiales para administrar los diferentes servidores (ese grupo es administrador local de todos los servidores del directorio activo), ni al grupo de administradores del dominio, puede acceder a recursos compartidos en ningún servidor. Por ejemplo, en un servidor llamado server, se comparte una carpeta llamada carpeta, con permisos del share a todos control total, y permisos ntfs control total también a todos. Pues cuando cualquier usuario intenta acceder a esa carpeta mediante \\server\carpeta sale un mensaje de error diciendo que el usuario no tiene permisos para acceder al recurso compartido en el servidor.

    Dado que el grupo todos tiene concedidos los permisos para acceder al recurso compartido, que los usuarios de ese grupo especial sí pueden acceder, y los demás usuarios no pueden ni a ese ni a ningún otro recurso compartido en ningún servidor, deduzco que esa restricción se ha puesto a nivel de GPO de usuario, pero no tengo ni idea de qué política es la que lo está impidiendo. Y necesito decirle a mi jefe cómo lo están restringiendo.

    ¿Me podéis ayudar?

    Gracias

    viernes, 17 de agosto de 2012 6:26

Respuestas

  • Perdona, no había leído bien tu mensaje y pasé por alto que comentabas que ponías permisos para todos tanto en seguridad como en compartir, me debía haber ahorrado el ladrillo :oP.

    Pues si va de GPO, quizás esté en Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas locales\Asignación de derechos de usuario, y podría tratarse de la directiva Denegar el acceso a este equipo desde la red.


    Un saludo

    Fernando Reyes [MS MVP]
    MCSA 2000/2003
    MCSE 2000/2003
    MCITP EnterpriseAdministrator
    Web: http://freyes.svetlian.com
    Blog: http://urpiano.wordpress.com
    RSS: http://urpiano.wordpress.com/feed/
    freyes.champú@champú.mvps.org
    (Aclárate la cabeza si quieres escribirme)

    viernes, 17 de agosto de 2012 7:25
    Moderador
  • Hola Paco, Fernando ya dió una opción, pero hay otra más

    Abre en el servidor GPEDIT.MSC y revisa en Computer Configuration / Windows Settings / Security Settings / Local Policies / User Rights Assignment

    Hay dos derechos que están relacionados con lo que te sucede

    • Access this computer from the network
    • Deny Access this computer from the network

    Revisa, que el segundo esté vacio; y comenta cuáles grupos están en el primero

     


    Guillermo Delprato - Buenos Aires, Argentina
    Visite Notas Windows Server
    MVP - MCT - MCSE - MCSA
    MCSA Windows Server 2008 MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory / Network Configuration / Applications Configuration / Server Virtualization / Windows 7 Configuration / Windows 7 & Office 2010 Deployment / Vista Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    lunes, 20 de agosto de 2012 15:00
    Moderador

Todas las respuestas

  • No creo que tenga nada que ver con las GPOs. Más bien parece que es un problema de permisos. Los permisos de un recurso compartido se configuran en dos partes. En las propiedades de la carpeta, se pueden establecer permisos en la pestaña Compartir (Share) y en la pestaña Seguridad (Security). Cuando se crea un recurso compartido, lo más habitual que se hace (los expertos en seguridad te dirán que no es correcto, que se debería hacer igual en ambas pestañas, yo sólo he puesto la bad practice habitual :oP), es establecer en la pestaña Seguridad los permisos específicos de grupos y usuarios, y en la pestaña Compartir poner al grupo Todos con control total. Esto se hace así porque cuando no coinciden los permisos establecidos en ambas pestañas, se lleva el gato al agua la que sea más restrictiva.

    Usando tu caso como ejemplo y como hipótesis de la causa de tu problema, podría ser que en la pestaña Compartir tengas puesto Control Total a Todos, pero en la pestaña Seguridad sólo los administradores del equipo tengan permisos; en este caso, sólo los administradores del equipo podrán acceder, tanto desde el propio equipo como desde otro equipo a través de la red. También podría ser al reves, en la pestaña Seguridad el permiso Total para Todos y en la pestaña Compartir sólo permisos para los administradores; en este caso, todos los usuarios tendrían acceso si estuviesen en el propio equipo que comparte la carpeta, pero sólo los administradores del equipo podrían acceder a ella a través de la red.


    Un saludo

    Fernando Reyes [MS MVP]
    MCSA 2000/2003
    MCSE 2000/2003
    MCITP EnterpriseAdministrator
    Web: http://freyes.svetlian.com
    Blog: http://urpiano.wordpress.com
    RSS: http://urpiano.wordpress.com/feed/
    freyes.champú@champú.mvps.org
    (Aclárate la cabeza si quieres escribirme)

    viernes, 17 de agosto de 2012 6:44
    Moderador
  • Gracias Fernando, pero no es eso. Hasta ahí llego :-) Los recursos compartidos tienen los permisos correctamente. Es más, si yo creo un recurso compartido y le doy permisos al share de control total a todos, y NTFS (security) control total a todos, me sale el mismo mensaje si trato de acceder al \\servidor\recurso. Es más: normalmente, cuando compartes recursos en un servidor, independientemente de los permisos share o security que asignes a los diferentes recursos y del usuario con el que accedas, si intentas acceder a \\servidor, te sale una lista con los recursos compartidos (visibles) de ese servidor, luego, dependiendo de los permisos, podrás o no acceder a ellos. Pues bien, aquí, si haces eso, te sale el mismo mensaje: no tiene permiso para acceder a ese recurso (el mensaje no es literal, pero puedo buscar el mensaje exacto y ponerlo por si sirve de ayuda).

    viernes, 17 de agosto de 2012 6:53
  • Perdona, no había leído bien tu mensaje y pasé por alto que comentabas que ponías permisos para todos tanto en seguridad como en compartir, me debía haber ahorrado el ladrillo :oP.

    Pues si va de GPO, quizás esté en Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas locales\Asignación de derechos de usuario, y podría tratarse de la directiva Denegar el acceso a este equipo desde la red.


    Un saludo

    Fernando Reyes [MS MVP]
    MCSA 2000/2003
    MCSE 2000/2003
    MCITP EnterpriseAdministrator
    Web: http://freyes.svetlian.com
    Blog: http://urpiano.wordpress.com
    RSS: http://urpiano.wordpress.com/feed/
    freyes.champú@champú.mvps.org
    (Aclárate la cabeza si quieres escribirme)

    viernes, 17 de agosto de 2012 7:25
    Moderador
  • Gracias, en cuanto pueda lo miro, pero me surge una duda: si está aplicándose la política denegar el acceso a este equipo desde la red, ¿cómo es posible que los usuarios que pertenecen a un grupo determinado puedan acceder? Al ser algo que ocurre a todos excepto a un grupo, entiendo que debería ser una política permisiva en el sentido de que la gente que pertenezca a un grupo pueda acceder y el resto no. En una restrictiva como es la de denegar el acceso desde la red, ¿cómo haces para que los usuarios de un grupo sí que puedan acceder?

    viernes, 17 de agosto de 2012 8:23
  • No, esa politica es una ACL en la que añades los usuarios o grupos a los que se quiere denegar el acceso a través de la red.

    Un saludo

    Fernando Reyes [MS MVP]
    MCSA 2000/2003
    MCSE 2000/2003
    MCITP EnterpriseAdministrator
    Web: http://freyes.svetlian.com
    Blog: http://urpiano.wordpress.com
    RSS: http://urpiano.wordpress.com/feed/
    freyes.champú@champú.mvps.org
    (Aclárate la cabeza si quieres escribirme)

    viernes, 17 de agosto de 2012 8:46
    Moderador
  • Por eso me parece muy extraño que lo hagan así, porque son literalmente miles de usuarios, y es una locura aplicar una política así, es más fácil decir este grupo sí y todo lo que no sea este grupo no, que decir estos miles de usuarios no y lo que no sean esos miles de usuarios sí.

    Saludos.

    viernes, 17 de agosto de 2012 9:10
  • ¿Has mirado con GPRESULT qué configuraciones hay? Te he dicho esa, pero pueden haber hecho otra cosa :oP Con GPRESULT a lo mejor lo ves.

    Un saludo

    Fernando Reyes [MS MVP]
    MCSA 2000/2003
    MCSE 2000/2003
    MCITP EnterpriseAdministrator
    Web: http://freyes.svetlian.com
    Blog: http://urpiano.wordpress.com
    RSS: http://urpiano.wordpress.com/feed/
    freyes.champú@champú.mvps.org
    (Aclárate la cabeza si quieres escribirme)

    viernes, 17 de agosto de 2012 10:18
    Moderador
  • Qué más quisiera yo que poder hacer un gpresult. Si pudiera hacerlo, ya sabría lo que han hecho para restringir eso. Pero solo tengo permiso para ver la GPO de una unidad organizativa. De todo lo que hay por encima, no tengo ni permiso de lectura.

    viernes, 17 de agosto de 2012 13:47
  • Hola Paco y Fernando, perdón que me meta, pero los veo "luchar con el problema" y quizás pueda aportar alguna idea

    Paco, aunque no puedas ver "más arriba" tienes permiso de lectura sobre las GPOs, de otra forma no te las aplicaría.

    ¿Tienes acceso o puedes instalar GPMC? usa Modeling, o ¿RSoP? porque en esos casos puedes ver qué configuración recibes y desde qué GPO

    Y quizás otra idea que me parece más probable, por todo lo que comentan al principio (acceso denegado aún teniendo todos los permisos), ¿estará cifrada con EFS esa carpeta?

    Revisa las propiedades avanzadas de la misma

     


    Guillermo Delprato - Buenos Aires, Argentina
    Visite Notas Windows Server
    MVP - MCT - MCSE - MCSA
    MCSA Windows Server 2008 MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory / Network Configuration / Applications Configuration / Server Virtualization / Windows 7 Configuration / Windows 7 & Office 2010 Deployment / Vista Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    viernes, 17 de agosto de 2012 15:43
    Moderador
  • Y ahora es cuando yo hago la pregunta más chorra de todas (disculpar, pero es que a veces se nos pasa cada cosa...).

    ¿Los usuarios que intentan acceder al server lo están haciendo desde una cuenta de usuario del dominio y desde una cuenta local al equipo?


    Eclat2K | www.2ksystems.com | @2ksystems
    Colobora con el foro: Si la respuesta es de utilidad para resolver tu duda/problema, usa la opción "Marcar como repuesta". Otros usuarios con dudas similares -en un futuro- lo agradecerán.

    domingo, 19 de agosto de 2012 18:50
  • Hola,

    No, no puedo instalar GPMC. Podría si me la pudiera descargar de Microsoft, pero el enlace está roto y no he sido capaz de encontrar un sitio desde donde descargármela.

    Las carpetas no están cifradas.

    Los usuarios que intentan acceder al recurso compartido en el server lo hacen desde una cuenta de usuario del dominio.

    Voy a resumir lo que pasa, por si no me he explicado bien.

    En un servidor llamado server, comparto una carpeta llamada share. Doy permiso de control total al grupo Todos en el share y en security (NTFS).

    Inicio sesión en mi equipo con mi usuario del dominio, escribo en inicio, ejecutar \\server\share y se me abre la carpeta compartida.

    Escribo en inicio, ejecutar \\server y se me abre una ventana en la que aparece la carpeta share. Si pincho en ella, entro y puedo ver y modificar lo que hay dentro.

    Mi usuario pertenece a un grupo que tiene permisos de administrador local en el servidor.

    Inicio sesión con un usuario del dominio normal. En inicio, ejecutar, tanto si escribo \\server\share como si escribo \\server me sale un error informándome de que se ha restringido el acceso al servidor (el mensaje exacto no lo recuerdo).

    En la política de seguridad local del servidor, la clave 'acceder a este equipo desde la red' tiene configurado el grupo Todos.

    Saludos.

    lunes, 20 de agosto de 2012 6:18
  • Entiendo que si quieres instalar el GPMC es que tienes un Windows Server 2003, es así? Es el R2 o el Standard?

    Otra cosa, has probado en vez de incluir al grupo todos en los permisos de la compartida y los NTFS, a incluir al grupo Autenticated Users y ver si te pasa lo mismo?


    Eclat2K | www.2ksystems.com | @2ksystems
    Colobora con el foro: Si la respuesta es de utilidad para resolver tu duda/problema, usa la opción "Marcar como repuesta". Otros usuarios con dudas similares -en un futuro- lo agradecerán.

    lunes, 20 de agosto de 2012 7:11
  • Es el R2.

    Y sí, he probado a poner los permisos de la compartida y NTFS a Autenticated Users. Pasa lo mismo.

    Saludos.

    lunes, 20 de agosto de 2012 7:58
  • Hola Paco, Fernando ya dió una opción, pero hay otra más

    Abre en el servidor GPEDIT.MSC y revisa en Computer Configuration / Windows Settings / Security Settings / Local Policies / User Rights Assignment

    Hay dos derechos que están relacionados con lo que te sucede

    • Access this computer from the network
    • Deny Access this computer from the network

    Revisa, que el segundo esté vacio; y comenta cuáles grupos están en el primero

     


    Guillermo Delprato - Buenos Aires, Argentina
    Visite Notas Windows Server
    MVP - MCT - MCSE - MCSA
    MCSA Windows Server 2008 MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory / Network Configuration / Applications Configuration / Server Virtualization / Windows 7 Configuration / Windows 7 & Office 2010 Deployment / Vista Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    lunes, 20 de agosto de 2012 15:00
    Moderador