none
GPO no se aplica RRS feed

 > 

  • Pregunta

  • Question
    Inicie sesión para votar
    0
    Inicie sesión para votar

    Buenas tardes.

    Estoy empezando a jugar un poco con las GPO en AD y observo lo siguiente.

    La Default Domain Policy se aplica perfectamente. También otra específica para todos los ordenadores (OU=Ordenadores que cuelga del dominio directamente). Pero dentro de esta tengo un nivel más geográfico y otro de tipología de equipo. Sobre este último aplico una GPO nueva pero no tiene efectos sobre los equipos miembros de la OU. En cambio en uno de estos equipos ejecuto la RSOP y me indica que si que tendría que aplicarse.

    La GPO que estoy intentando tendría que ejecutar un script .BAT o .CMD (comprobado localmente). Pero a la vista de ello la he cambiado para hacer pruebas bloqueando el acceso a las unidades externas. En ninguno de los dos casos se aplica correctamente la GPO. La comprobación la hago mirando el resultado del script (inexistente) y/o ejecutango GPEDIT.msc en el mismo equipo, viendo que nada de lo dispuesto en la GPO tiene su reflejo local.

    Toda ayuda será bienvenida.

    lunes, 21 de octubre de 2019 16:40
    |

Todas las respuestas

  • Question
    Inicie sesión para votar
    1
    Inicie sesión para votar

    Hola JMGorro, no es tan sencillo el funcionamiento de las GPOs, y no son intuitivas en muchos aspectos

    Si estás enlazando una GPO a la OU donde están las máquinas, lo único que aplicará es la parte de "Computer configuration", no aplicará la parte de "User configuration" si ahí mismo no están las cuentas de usuario

    O aplicas la GPO en una OU donde estén ambas cuentas, o enlazas cada GPO, o la misma) pero en las dos OUs diferentes

    Revisa este enlace que aunque es "viejo" es tal cual como funcionan

    Cómo Funcionan las Directivas de Grupo (GPOs) | WindowServer
    https://windowserver.wordpress.com/2011/02/10/como-funcionan-las-directivas-de-grupo-gpos/

    Algo más por las dudas, el objetivo de las OUs es facilitar la delegación de administración o aplicación de GPOs. Cuanto más anidadas estén puede dificultar ambas cosas. Lo aclaro por las dudas :)

     

    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    lunes, 21 de octubre de 2019 18:18
    |
    Moderador
  • Question
    Inicie sesión para votar
    0
    Inicie sesión para votar

    Hola Guillermo.

    Gracias por la respuesta. Me he leido el documento que me has adjuntado y sigo fielmente todos los pasos que en él se relatan. Pero no consigo que se apliquen.

    Uso la consola gpedit para comprobar si el cambio de directivas se ha aplicado y la RSoP para ver que GPO se aplican.

    Mientras la segunda me indica que si que se aplica a través de la primera no veo nada en la configuración local del equipo. Incluso fuerzo la carga de GPO en el cliente mediante la gpupdate /force, apareciéndome en el viso de eventos los mensajes 1501 y 1502 de aplicación correcta, pero siguen sin aparecer en el gpedit.

    Suponiendo que el problema fuese del gpedit, he creado un script de inicio de equipo que únicamente pone la hora actual en un archivo de %TEMP%, pero tampoco. No se crea.

    Para dar más información, he probado cambiando también los filtros de la GPO, pasando de los usuarios autentificados a añadir Equipos del dominio y finalmente sólo dejar una máquina con la que estoy haciendo pruebas miembro del dominio.

    También he probado a mover la GPO a una OU de nivel superior (no he llegado hasta la raiz del dominio) y tampoco ha habido suerte.

    Sinceramente ya se me han agotado las pruebas a realizar. Estoy empezando a creer que este sistema no funciona adecuadamente. Pero como he leido en algún foro que es un sistema que Microsoft se enorgullece de que funciona muy bien me está empezando a dar mala espina. Tendré algún problema en el directorio?

    Gracias por cualquier ayuda que me podáis dar.

    martes, 22 de octubre de 2019 6:42
    |
  • Question
    Inicie sesión para votar
    1
    Inicie sesión para votar

    [Guillermo] Respondo entre líneas

    Hola Guillermo.

    Gracias por la respuesta. Me he leido el documento que me has adjuntado y sigo fielmente todos los pasos que en él se relatan. Pero no consigo que se apliquen.

    Uso la consola gpedit para comprobar si el cambio de directivas se ha aplicado y la RSoP para ver que GPO se aplican.
    [Guillermo] En un ambiente de AD no se utiliza GPEDIT sino el editor de GPOs del Dominio ya que así se editan las del Dominio. Y para ver qué GPOs se aplican o no, y por máquina y por usuario lo mejor es desde un CMD "Ejecutado como administrador" GPRESULT /R

    Mientras la segunda me indica que si que se aplica a través de la primera no veo nada en la configuración local del equipo. Incluso fuerzo la carga de GPO en el cliente mediante la gpupdate /force, apareciéndome en el viso de eventos los mensajes 1501 y 1502 de aplicación correcta, pero siguen sin aparecer en el gpedit.
    [Guillermo] Las GPO del Domino no alteran ni cambian las directivas locales, son independientes, aunque sus configuraciones valen

    Suponiendo que el problema fuese del gpedit, he creado un script de inicio de equipo que únicamente pone la hora actual en un archivo de %TEMP%, pero tampoco. No se crea.
    [Guillermo] Comienza por algo fácil de ver si estás probando. Los scripts de inicio, y especialmente los de máquina, tienen "sus vueltas", prueba con algo fácil de ver, como ocultar el "Ejecutar" o Panel de Control

    Para dar más información, he probado cambiando también los filtros de la GPO, pasando de los usuarios autentificados a añadir Equipos del dominio y finalmente sólo dejar una máquina con la que estoy haciendo pruebas miembro del dominio.
    [Guillermo] El filtrado de seguridad no es tan sencillo como parece, es algo que usar sólo como última instancia, y generalmente indica que no se ha hecho un buen diseño de la jerarquía de las Unidades Organizativas. Déjalo para el final, cuando ya domines cómo se aplican. Al final dejo unos enlaces sobre el tema

    También he probado a mover la GPO a una OU de nivel superior (no he llegado hasta la raiz del dominio) y tampoco ha habido suerte.
    [Guillermo] Las GPOs no se mueven, son objetos de existencia independiente, a lo sumo la puedes enlaza a una o varias OUs

    Sinceramente ya se me han agotado las pruebas a realizar. Estoy empezando a creer que este sistema no funciona adecuadamente. Pero como he leido en algún foro que es un sistema que Microsoft se enorgullece de que funciona muy bien me está empezando a dar mala espina. Tendré algún problema en el directorio?
    [Guillermo] Si desde W2000 todavía no funcionara bien, estaríamos todos "fritos" ja ja ja. Comienza con algo sencillo y luego de a poco tendrás todo el tiempo del mundo para complicarte

    Gracias por cualquier ayuda que me podáis dar.

    Directivas de Grupo (GPO) – Herencia, Forzado y Resolución de Conflictos | WindowServer
    https://windowserver.wordpress.com/2017/07/11/directivas-de-grupo-gpo-herencia-forzado-y-resolucin-de-conflictos/

    Directivas de Grupo (GPO) – Filtrado de Seguridad | WindowServer
    https://windowserver.wordpress.com/2017/07/11/directivas-de-grupo-gpo-filtrado-de-seguridad/

    GPOs No Se Aplican (MS16-072 – KB3163622 y KB2919355) | WindowServer
    https://windowserver.wordpress.com/2016/07/19/gpos-no-se-aplican-ms16-072-kb3163622-y-kb2919355/

     

    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    martes, 22 de octubre de 2019 11:38
    |
    Moderador
  • Question
    Inicie sesión para votar
    1
    Inicie sesión para votar

    Hola Guillermo.

    De nuevo muchas gracias por tus intentos de ayuda.

    En primer lugar, muchas gracias por indicarme que GPEDIT no es la herramienta adecuada para mirar si una GPO se aplica o no. Aquí si que estaba totalmente equivocado. Ya no la usaré más.

    Pero ya sea usando GPRESULT como la consola RSOP, me indican que el script que he puesto en Configuración de equipo->Configuración de Windows-> Scripts->Inicio debería aplicarse. Y el script es tan simple como:

    @echo off
    date /T > %TEMP%\Test.log

    En ningún momento se ha generado el citado archivo en local.

    Incluso he probado redirigiendo la salida a c:\temp\test.log pero el resultado es el mismo.

    Ya, para hacer más pruebas, en la misma GPO he deshabilitado el acceso de escritura a discos extraibles. Y curiosamente ha funcionado a la perfección.

    Como última prueba he desahilitado la carga del antivirus en tiempo de arranque, por lo que este posible escollo también está comprobado.

    Por lo tanto infiero que, por alguna razón que desconozco, el script, que se ejecuta sin problemas en local, no es capaz de ejecutarlo el equipo en tiempo de arranque. Será por que el sistema no está cargado y no es capaz de arrancar una instancia de CMD? No debería aparecer algún tipo de mensaje de error en este caso en el visor de eventos?

    Muchas gracias por la ayuda.

    jueves, 24 de octubre de 2019 11:39
    |
  • Question
    Inicie sesión para votar
    2
    Inicie sesión para votar

    Los scripts de inicio de sesión no son algo fácil de implementar, ya que aún el sistem no ha terminado de levantar, no hay escritorio disponible, no hay usuario, etc. Y como si fuera poco no se alcanza a ver su ejecución para ver si aparece un error en pantalla

    Estos archivos, por máquina, en general, se usan para otras configuraciones, por ejemplo hacer alguna entrada en el Registro, en la parte que un usuario no tiene permisos (HKEY_LOCAL_-MACHINE)

    Es totalmente diferente ejecutar algo en la sesión de usuario, que en la de máquina, donde aún no está presente ninguna de usuario

    Dependiendo de qué quieras hacer en el script de inicio de máquina se podrá o no. Para darte un ejemplo que muchos han intentado y no se puede, como es mapear una unidad de red; esto es sólo por usuario

    Si apareciera algún error lo debes buscar en el visor de eventos, y no siempre aparece, pero es el único lugar donde podría haber quedado

     

    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    jueves, 24 de octubre de 2019 13:22
    |
    Moderador