none
Porque No Se Aplican Directivas De Seguridad En El Dominio? RRS feed

  • Pregunta

  • Buen dia:

    Se tiene un Windows Server 2012 Estandar como controlador de dominio. He Creado y configurado algunas GPO's tanto para mapear unidades de red como la ejecucion de algunos programas cuando el usuario inicie sesion en su PC, pero estas no se ejecutan

    Estas GPO's estan correctamente creadas y configuradas, ya que las he implementado en otras redes de dominio y han funcionado perfectamente, sin embargo en este controlador de dominio no funcionan

    La prueba reina para comprobarlo es que he configurado una GPO de Inicio de Sesion en la ruta Configuracion de Usuario\Directivas\Plantillas Administrativas\Sistema\Inicio de Sesion\Ejecutar estos programas cuando el usuario inicie sesion para que se ejecute el programa de Block de Notas (notepad.exe) cuando el usuario uprueba inicie sesion



    Sin embargo, cuando se inicia sesion con este usuario el programa no se ejecuta, y creo que la GPO esta bien configurada:



    Podrian por favor ayudarme a resolver este problema, o indicarme que puedo revisar y corregir para que me funcionen bien?? Ya que necesito implementar varias GPO's de vital importancia para los usuarios de la red. Les agradezco muchisimo su pronta respuesta. Saludos


    "El espiritu de lucha es lo que nos impulsa cada día a emprender nuevos retos..." Alexsc007 Bogotá - Colombia



    • Editado Alexsc007 lunes, 10 de julio de 2017 21:00
    lunes, 10 de julio de 2017 19:38

Todas las respuestas

  • Por lo que se ve de las capturas es casi seguro que el problema está en el filtrado de seguridad que se ha hecho

    El diseño de Active Directory y las Unidades Organizativas, y para facilitar la aplicación de GPOs a conjuntos de usuarios y máquinas, no es enlazar todo al Dominio y luego filtrar, eso es posible pero es complicarse sin mucho sentido

    La idea es crear Unidades Organizativas, para agrupar cuentas, sean de usuario o de máquina, y luego enlazar la GPO a la Unidad Organizativa que corresponda, y no todo a nivel de Dominio

    Pienso que este enlace puede ayudarte

    Cómo Funcionan las Directivas de Grupo (GPOs) | WindowServer:
    https://windowserver.wordpress.com/2011/02/10/como-funcionan-las-directivas-de-grupo-gpos/

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    lunes, 10 de julio de 2017 20:02
  • Hola Guillermo: Muchisimas gracias por tu pronta respuesta.

    De acuerdo a la lectura sobre el correcto funcionamiento de las GPO's, He realizado las respectiva modificacion:



    Pero aun asi no me funciona.... Que otra cosa debo revisar??? Mil gracias


    "El espiritu de lucha es lo que nos impulsa cada día a emprender nuevos retos..." Alexsc007 Bogotá - Colombia

    lunes, 10 de julio de 2017 21:04
  • En la primera pregunta, segunda captura, se observa que se ha puesto un filtro de seguridad, ahí tiene que estar el problema

    Asegúrate que "Usuarios autentificados" tenga permisos de Lectura y Aplicar GPO

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    lunes, 10 de julio de 2017 22:40
  • Buen dia Guillermo:

    En efecto, agregue el grupo Usarios Autentificados al filtro de Seguridad y ya me funciono!!!

    Lo que no entiendo es porque funciona de esta manera, si se supone que yo puedo especificar determinados grupos de seguridad (CONTABILIDAD, SISTEMAS, FINANZAS, etc) o usuarios particulares (en este caso uprueba) a los que deseo aplicarles la GPO. De hecho, en otros dominios de red asi lo he hecho y me ha funcionado sin incoveniente alguno. Podrias darme alguna explicacion de esto??

    Como podria hacer para quitarle esa restriccion?? Ya que la GPO que requiero implementar no se aplica para todos los usuarios del dominio

    Te agradezco mucho tu valiosa colaboracion. Saludos


    "El espiritu de lucha es lo que nos impulsa cada día a emprender nuevos retos..." Alexsc007 Bogotá - Colombia

    martes, 11 de julio de 2017 13:36
  • Si usas filtrado de seguridad, la cuenta tiene que tener dos permisos: "Lectura" y "Aplicar GPO", y no debe recibir ningún Denegado que lo afecte

    De todas formas, y si me permites, aunque "siempre te haya funcionado", lo estás haciendo de una forma no prevista normalmente, tanto de acuerdo a como fue diseñado el sistema, como al uso habitual y las recomendaciones

    El objetivo de crear una buena jerarquía de Unidades Organizativas tiene dos objetivos: facilitar la aplicación de GPOs, y delegación de administración

    Cuanto más simple sea la implementación, no sólo es más fácil sino que además se gana tiempo, y se facilita la resolución en caso de producirse algún problema

    Justamente buscando información que te puede ayudar con el tema, encontré que tenía dos entradas en el blog, que se habían "perdido", y las he republicado. Si quieres verlas:

    Directivas de Grupo (GPO) – Herencia, Forzado y Resolución de Conflictos | WindowServer:
    https://windowserver.wordpress.com/2017/07/11/directivas-de-grupo-gpo-herencia-forzado-y-resolucin-de-conflictos/

    Directivas de Grupo (GPO) – Filtrado de Seguridad | WindowServer:
    https://windowserver.wordpress.com/2017/07/11/directivas-de-grupo-gpo-filtrado-de-seguridad/

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    martes, 11 de julio de 2017 15:04
  • Hola Guillermo:

    Muchisimas gracias por tu ayuda. Me he remitido a tus entradas de blog y he seguido tus recomendaciones para una mejor practica. He modificado la jerarqui organizacional en el Directorio Activo de la siguiente manera:



    El usuario uprueba se encuentra vinculado al Grupo SISTEMAS, y la GPO se encuentra creada dentro de la Unidad Organizativa BOGOTA, que a su vez anida la UO SISTEMAS y dentro de esta se encuentra el usuario uprueba. Para aplicar la GPO, en el filtrado de seguridad estoy vinculando unicamente al grupo SISTEMAS:



    En la Delegacion de permisos para la aplicacion de la GPO, el grupo SISTEMAS posee los permisos de Lectura y Aplicacion de la GPO:



    Pero aun asi, al iniciar sesion con el usuario uprueba, no se le aplica la GPO correspondiente

    Que esta mal para que no funcione correctamente??? Que mas debo revisar o modificar?? Te agradezco mucho me sigas ayudando. Saludos


    "El espiritu de lucha es lo que nos impulsa cada día a emprender nuevos retos..." Alexsc007 Bogotá - Colombia

    martes, 11 de julio de 2017 18:05
  • Aclaro un par de cosas antes, para que creo te servirá para interpretar mejor información que puedas ver o buscar

    1.- Los usuarios, se incluyen, o pertenecen a grupos. No se suele usar el término vincular, aunque técnicamente es realmente correcto :) En un grupo hay vínculos hacia cada uno de las cuentas que pertenecen al grupo

    2.- Nunca una GPO se crea dentro de una Unidad Organizativa ya que ésta tiene existencia propia, puede existir y no afecta a nadie. Para que una GPO aplique su configuración hay que vincularla a un "Site", Dominio o Unidad Organizativa. Inclusive puede estar vinculada a más de un lugar

    3.- El nombre localizado al español realmente no es correcto, ya que han traducido "GPO = Group (Grupo), Policy (Política, directiva), Object (Objeto)" como "Objeto Directiva de Grupo" por lo cual cualquiera que comprenda español interpreta que se aplica a Grupos de cuentas, y no es así
    No se aplica a Grupos, se aplica a cuentas, de usuario o de máquina
    Yo hubiera preferido no usar la palabra "grupo" sino "conjunto" porque se trata de un conjunto de configuraciones. Y la habría traducido como "Objeto Conjunto de Directivas" u "Objeto Conjunto de Configuraciones". Pero como te imaginarás yo no lo decido :D

    Resumiendo un poco lo anterior, cuando se habla de filtrado de seguridad de GPOs, olvídate de los grupos del Dominio, siempre los permisos son sobre las cuentas

    Y por esto es que no te funciona. El permiso no tiene que ser al grupo "SISTEMAS", sino  a la cuenta del usuario "uprueba"

    No te sientas culpable, el nombre que le han puesto a las GPOs ha llevado a muchísima gente a la confusión. Además ten en cuenta que si incluyes a un usuario en un grupo, hay que cerrar y volver a abrir sesión para que el cambio sea tomado. Desde línea de comandos con "WhoAmI /Groups" puedes verificar si está incluido en el grupo o no

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    martes, 11 de julio de 2017 18:49
  • Hola Guillermo:

    En cuanto a tus presiciones, para mi son perfectamente claros los puntos 1, 2 y 3

    - El usuario uprueba es miembro o pertenece al grupo de Seguridad SISTEMAS

    - La GPO efectivamente se encuentra vinculada a la unidad organizativa BOGOTA. Sin embargo, ya habia realizado el ejercicio de crear y vincular la GPO por encima de la unidad organizativa en mencion, es decir, directamente al Dominio, pero tampoco funciono

    - Entiendo perfectamente que una GPO solo se aplica a cuentas de Usuario o de Maquina, pero tambien es claro que yo puedo personalizar a quienes les voy a aplicar dicha GPO (a todo el DOMINIO (Usuarios del dominio), a un GRUPO de usuarios en especial (SISTEMAS) o a un USUARIO en particular (uprueba). Como te mencione anteriormente, en otros dominios de red que he implementado en otras organizaciones, lo he hecho asi y me ha funcionado sin ningun inconveniente (Server 2003, 2008 y 2012). He implementado GPO's para conectar unidades de red, establecer papel tapiz, protector de pantalla, restriccion de programas, etc, que difieren de un grupo de usuarios del directorio activo a otros (SISTEMAS, CONTABILIDAD, OPERACIONES, etc) usando Grupos de Seguridad en la seccion de Filtrado de Seguridad.

    En este escenario, he probado diversas configuraciones:
    - GPO vinculada a nivel de Dominio y a nivel de Unidad Organizativa
    - Filtrado de Seguridad por Grupos de Seguridad (SISTEMAS) y por usuario (UPRUEBA) pero en este dominio no me funcionan a no ser que establezca en el filtrado el grupo Usuarios Autenticados...

    Creo que he quedado un poco confundido.... Pienso mas bien que esto se debe a que algun administrador anterior, modifico en algun momento algo o coloco alguna restriccion que impide que las GPO's en este dominio se apliquen a Grupos de Seguridad ni a usuarios sino unicamente al grupo Usuarios Autentificados....

    Cualquier otra luz que me puedas dar te lo agradecere. Saludos


    "El espiritu de lucha es lo que nos impulsa cada día a emprender nuevos retos..." Alexsc007 Bogotá - Colombia

    martes, 11 de julio de 2017 19:58
  • Creo que lo mejor es si puedes hacerte un ambiente de prueba, y siguiendo los paso a paso de las notas anteriores, más la lectura del primer enlace, veas cómo funciona. Específicamente las configuraciones usadas en la nostas paso a paso son las que son más fáciles de visualizar y comprobar

    Aunque también, no lo he nombrado antes para no complicarte más, pero en algún caso hay que ver este tema:

    GPOs No Se Aplican (MS16-072 – KB3163622 y KB2919355) | WindowServer
    https://windowserver.wordpress.com/2016/07/19/gpos-no-se-aplican-ms16-072-kb3163622-y-kb2919355/

    Te va a llevar un rato probar cada cosa, pero una vez que la tienes, ya está para siempre :)

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    martes, 11 de julio de 2017 22:19