none
GPO restriccion, habilitar todas las funciones a unidad organizacional RRS feed

  • Pregunta

  • Buenas

    Les escribo nuevamente ya que tengo una duda, respecto a las GPO's

    Tengo un dominio hablitado en Enterprise 2003, con su respectivo DNS, el DC trabaja bien sin problema alguna, incluso ya agrege una maquina al dominio, el detalle es al momento de editar las GPO, o en tal caso la GPO que cree.

    La topologia del DC que tengo es esta:

    OU User

    OU Directores

    Tengo un grupo llamado en Builten User y otro Directores

    En la OU de User cree un GPO llamada User. Esta GPO casi no le he modificado nada.

    En la OU de Directores cree otra GPO llamada Direcotes. Pero a esta GPO le quiero dar todos los privilegios, si no le coloco GPO a esta OU la OU toma la GPO del DC.

     

    Ojo en el DC tengo la GPO que viene por default alli no la he modificado.

    Pero tengo tremendo lio con esto de las restrcciones y permisos.

    Quisiera que me hecharan una mano con esto por favor.

     

    Saludos

     

    martes, 13 de julio de 2010 19:34

Respuestas

  • A cada OU le aplique una, GPO, a la OU de user, le aplique una GPO a la de directores no le aplique ninguna GPO pensando que no se aplicaria ninguna restriccion pero lei por alli que se aplica la del dominio.

    Entoces quiero es que todos las cuentas que esten en la OU de Directores, tengan persmiso de administrador en la maquina donde inicie sesion.

    Y no consigo realmente habilitar ciertos parametros al momento de editar la GPO, eh alli el detalle.

    Otra cosa como deshabilito e las directivas de contrasña que no sea neceseario colocar una contraseña compleja si no simple ejemplo 12345678, en la GPO de default policy coloque Enabled a la a la casilla de complejidad de contraseña. en todas las GPO pero nada al momento de crear la cuenta y colocar un contraseña simple no me deja colocar.ç

    Saludos


    Si no quieres que a la OU Directores se aplique una GPO no basta con no "linkar" ninguna, sino que debes bloquear la herencia de las GPOs de orden superior, en este caso, la del dominio .

    A parte, si encima quieres que los usuarios sean Administradores locales, deberás crear otra GPO y aplicar lo que te comentan Pep y Guillermo.


    Saludos,

    Marc
    MCSA/MCSE 2003
    MCITP: Enterprise Administrator
    MCITP: Enterprise Messaging Administrator
    • Marcado como respuesta VR1387 jueves, 15 de julio de 2010 20:40
    miércoles, 14 de julio de 2010 15:24
    Moderador

Todas las respuestas

  • Hola,

    empieza por el primer post de este mismo foro del compañero Guillermo delPrato

    Cómo funcionan las Directivas de Grupo (Group Policy Objects – GPOs)

    http://social.technet.microsoft.com/Forums/es-ES/wsades/thread/35d227cb-8d34-4ac1-9033-91b5645a027b

    Saludos


    MCTS: Windows Server 2008 Active Directory, Configuring - MCTS: Windows Server 2008 Network Infrastructure, Configuring
    martes, 13 de julio de 2010 19:54
    Moderador
  • Pep, que siempre me escribes mal el apellido!

    ¿Copiar/Pegar? :-)

    Y que no me olvidé de lo otro, no pude todavía


    Guillermo Delprato - MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration --- Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos. --- Buenos Aires, Argentina
    martes, 13 de julio de 2010 21:57
    Moderador
  • Buenas noches

     

    Ook ya lei el post y lo entiendo, pero quisiera una explicacinn de los permisos, en una OU osea que todos los usuarios que este en esa OU al momento de ingresar en su maquina local tengan persmiso de administrador!

     

    Quisiera es sobre como es la restriccion que habilitar o deshabiltar para restringir o dar todos los permisos en una OU o GPO que cree.

     

    Saludos

    martes, 13 de julio de 2010 23:45
  • Si USers te refieres a la carpeta por defecto que se crea debajo del dominio, no es una OU, es una carpeta, por lo que la única GP que se aplica a ella es la del dominio; es sólo a título informativo.

    No entiendo bien la pregunta socio; tú tienes OUs, y sobre esas OUs, creas las GPO; si en una OU hay cuentas de usuario y máquina, y pones una GPO para configurar aspectos de ambos, se aplicará por defeto a todos los usuarios/máquinas de esa OU; que quieres que unos sí y a otros no, usas el filtering scope por ejemplo.

    Si en la OU  que dices de directores, pones una GPO que pr ejemplo configure el Internet Exporer para usar un proxy, y restringir el acceso a determinadas configuraciones del IE, la GPO se alpicará a todos los usuarios de esa OU, pero eso es lo que está explicado en el post de Guillermo.

     

    Filtering the Scope of a GPO

    http://msdn.microsoft.com/en-us/library/aa373513(VS.85).aspx

     

    How to Implement Group Policy Security Filtering

    http://www.windowsnetworking.com/articles_tutorials/Group-Policy-Security-Filtering.html

     


    -------- Salu2!! Javier Inglés https://mvp.support.microsoft.com/profile=540CC20A-D91F-4E7B-A209-2CB5567431B0 MS MVP, Windows Server-Directory Services. Microsoft Active Professional 2010
    miércoles, 14 de julio de 2010 6:07
  • Guillermo,

    disculpa por lo del apellido, es una costumbre que tengo cuando los apellidos empiezan por "de, del o de l*" . Lo otro no te preocupes, cuando pueda ser, sera.

    Zodiac,

    para hacer a un usuario Administrador, o del grupo que sea, mediante GPO debes utilizar los grupos restringidos de manera que puedes configurarlo de 2 maneras, detallando los "Miembros" de esos grupos o si el usuario es "Miembro de" especificando los grupos a los que pertenecera , revisa este articulo para profundizar un poco mas

    Grupos restringidos

    http://technet.microsoft.com/es-es/library/cc785631(WS.10).aspx

    Saludos


    MCTS: Windows Server 2008 Active Directory, Configuring - MCTS: Windows Server 2008 Network Infrastructure, Configuring
    miércoles, 14 de julio de 2010 7:52
    Moderador
  • Pep, ningún problema. Yo creo que está más veces mal escrito que bien. Generalmente lo separan :-)

    zodiac_, acá tienes el procedimiento para hacer que un grupo sea administrador de estaciones de trabajo, en forma automática a través de GPO

    Cómo configurar un grupo global para ser un miembro del grupo Administradores en todas las estaciones de trabajo:
    http://support.microsoft.com/kb/320065/es

    Vale para 2003 también.


    Guillermo Delprato - MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration --- Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos. --- Buenos Aires, Argentina
    miércoles, 14 de julio de 2010 10:52
    Moderador
  • Si USers te refieres a la carpeta por defecto que se crea debajo del dominio, no es una OU, es una carpeta, por lo que la única GP que se aplica a ella es la del dominio; es sólo a título informativo.

    No entiendo bien la pregunta socio; tú tienes OUs, y sobre esas OUs, creas las GPO; si en una OU hay cuentas de usuario y máquina, y pones una GPO para configurar aspectos de ambos, se aplicará por defeto a todos los usuarios/máquinas de esa OU; que quieres que unos sí y a otros no, usas el filtering scope por ejemplo.

    Si en la OU  que dices de directores, pones una GPO que pr ejemplo configure el Internet Exporer para usar un proxy, y restringir el acceso a determinadas configuraciones del IE, la GPO se alpicará a todos los usuarios de esa OU, pero eso es lo que está explicado en el post de Guillermo.

     

    Filtering the Scope of a GPO

    http://msdn.microsoft.com/en-us/library/aa373513(VS.85).aspx

     

    How to Implement Group Policy Security Filtering

    http://www.windowsnetworking.com/articles_tutorials/Group-Policy-Security-Filtering.html

     


    -------- Salu2!! Javier Inglés https://mvp.support.microsoft.com/profile=540CC20A-D91F-4E7B-A209-2CB5567431B0 MS MVP, Windows Server-Directory Services. Microsoft Active Professional 2010

    Buenas

     

    Que tal no Javier la estructira que tengo es que cree 2 OU's una llamada User y la otra Directores

     

    Igualmente les dejo las imagenes para quevena la estructura que tengo.

     

    http://a.imageshack.us/img710/1503/dc1q.jpg
    http://a.imageshack.us/img684/2999/dc2zd.jpg
    http://a.imageshack.us/img84/3434/dc3w.jpg

     

    A cada OU le aplique una, GPO, a la OU de user, le aplique una GPO a la de directores no le aplique ninguna GPO pensando que no se aplicaria ninguna restriccion pero lei por alli que se aplica la del dominio.

    Entoces quiero es que todos las cuentas que esten en la OU de Directores, tengan persmiso de administrador en la maquina donde inicie sesion.

     

    Yno consigo realmente habilitar ciertos parametros al momento de editar la GPO, eh alli el detalle.

    Otra cosa como deshabilito e las directivas de contrasña que no sea neceseario colocar una contraseña compleja si no simple ejemplo 12345678, en la GPO de default policy coloque Enabled a la a la casilla de complejidad de contraseña. en todas las GPO pero nada al momento de crear la cuenta y colocar un contraseña simple no me deja colocar.ç

    Saludos

    miércoles, 14 de julio de 2010 13:49
  • A cada OU le aplique una, GPO, a la OU de user, le aplique una GPO a la de directores no le aplique ninguna GPO pensando que no se aplicaria ninguna restriccion pero lei por alli que se aplica la del dominio.

    Entoces quiero es que todos las cuentas que esten en la OU de Directores, tengan persmiso de administrador en la maquina donde inicie sesion.

    Y no consigo realmente habilitar ciertos parametros al momento de editar la GPO, eh alli el detalle.

    Otra cosa como deshabilito e las directivas de contrasña que no sea neceseario colocar una contraseña compleja si no simple ejemplo 12345678, en la GPO de default policy coloque Enabled a la a la casilla de complejidad de contraseña. en todas las GPO pero nada al momento de crear la cuenta y colocar un contraseña simple no me deja colocar.ç

    Saludos


    Si no quieres que a la OU Directores se aplique una GPO no basta con no "linkar" ninguna, sino que debes bloquear la herencia de las GPOs de orden superior, en este caso, la del dominio .

    A parte, si encima quieres que los usuarios sean Administradores locales, deberás crear otra GPO y aplicar lo que te comentan Pep y Guillermo.


    Saludos,

    Marc
    MCSA/MCSE 2003
    MCITP: Enterprise Administrator
    MCITP: Enterprise Messaging Administrator
    • Marcado como respuesta VR1387 jueves, 15 de julio de 2010 20:40
    miércoles, 14 de julio de 2010 15:24
    Moderador
  • zodiac_, vamos por partes, primero porque lo que dices no es lo que se ve en las capturas, y segundo vamos a ver lo que necesitas.

    Entonces por lo primero, según dices tienes la GPO en Users, que en realidad se llama "empresa user" y que no es lo mismo ya que en Users no se pueden poner GPOs directamente.
    Además, de acuerdo a http://a.imageshack.us/img84/3434/dc3w.jpg esa GPO "empresa user" está enlazada a nivel de dominio, y por lo tanto afectará a todo el dominio.
    Debe quedar enlazada solamente como muestra http://a.imageshack.us/img684/2999/dc2zd.jpg

    Para el tema de contraseñas: todo lo que sea referido a directivas de cuentas (contraseña, bloqueo y Kerberos) es *únicamente a nivel de dominio* y se maneja con la Default Domain Policy.
    Poniéndolas a nive de OU no tendrás el resulado que buscas
    Hasta W2003 no tienes alternativa. Deberías migrar a W2008 por lo menos, para tener diferentes directivas de contraseña en el mismo dominio.

    Si lo que quieres es que cada director sea administrdor local de su propia máquina (y nada más) creo que lo más fácil y rápido es que lo hagas individualmente en cada equipo, porque de otra manera deberías crear tantas OU y GPOs como directores tengas.

     


    Guillermo Delprato - MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration --- Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos. --- Buenos Aires, Argentina
    miércoles, 14 de julio de 2010 15:41
    Moderador
  • Buenas

     

    Ya entiendo mejor al estructura de las GPO, voy a dar la pregunta como resuelta, cualquier duda lo colocare por aca.

     

    Gracias por todos los link y respuestas

     

    Saludos

    jueves, 15 de julio de 2010 20:41
  • Ok. :)

    A parte del link de explicación sobre las GPOs de Guillermo, en www.secondnug.com, en la parte de IT Pro, puedes encontrar un par de PPTs míos sobre las GPOs así como otros 2 webcasts, uno teórico y otro totalmente práctico con el "Demo effect" :-P, donde intento explicar cómo funcionan y cómo aplicarlas.


    Saludos,

    Marc
    MCSA/MCSE 2003
    MCITP: Enterprise Administrator
    MCITP: Enterprise Messaging Administrator
    viernes, 16 de julio de 2010 8:53
    Moderador
  • El link de explicacíon sobre las GPOs,en la parte de IT Pro.¿Podemos personalizar el PPTs?
    Marketing online,
    jueves, 9 de diciembre de 2010 12:39
  • Deberías consultarlo con los admins de SecondNug a ver qué dicen ellos.
    Saludos,

    Marc
    MCSA/MCSE 2003
    MCITP: Enterprise Administrator (Windows Server 2008)
    MCITP: Enterprise Messaging Administrator (Microsoft Exchange 2007)
    Citrix CCA
    viernes, 10 de diciembre de 2010 15:26
    Moderador