none
Puedo asignar permisos de una "Directiva de Grupo" de una "Unidad Organizativa" a un usuario que esta en la carpeta "Users"? RRS feed

  • Pregunta

  • Muy buenas a todos. 

    Tengo el usuario "calidad" en la carpeta Users y quiero asignarle una Directiva de Grupo que tengo en la Unidad Organizativa DAW, pero sin mover el usuario de la carpeta "Users"

    En la Unidad Organizativa "DAW" tengo creado el grupo "grupDaw", y el usuario "calidad" es miembro del grupo

    La Unidad Organizativa DAW tiene una Directiva de Grupo "DG_NoInstall", y tiene agrado el usuario "calidad" y el grupo "grupDaw", del cual el usuario "calidad" forma parte.


    Bien, el usuario "calidad" no recibe los permisos que hay en la Directiva de Grupo "DG_NoInstall". Sólo recibe dichos permisos si lo meto dentro de la Unidad Organizativa "DAW".

    El caso es que quiero tener todos los usuarios en la carpeta "Users" y poder asignar permisos agregando los usuarios a los grupos que estan en diferentes Unidades Organizativas. ¿Es eso posible? ¿Es una mala práctica?

    En todo caso, me gustaría saber cual es la forma para tener bien organizados todos los usuarios. ¿Se ponen en Unidades Organizativas segun su departamento? O bien se pueden tener todos dentro de una misma carpeta 

    Gracias

    martes, 15 de diciembre de 2015 19:47

Respuestas

  • Lo mejor es hacer una OU por departamento, y asi en el caso de tener que hacer un GPO, muy espcifica para un departmento solo afectara, a ese usuario y maquina.

    HAcer una OU por maquina y otra por OU, hay gpos que se aplican a maquinas y otras a usuarios.

    • Marcado como respuesta xavipcpc martes, 29 de diciembre de 2015 8:43
    martes, 15 de diciembre de 2015 20:43
  • Hola xavipcpc, es tal como dice Alfonso Silván, nunca conviene tener usuarios en "Users" ya que ésta no es una Unidad Organizativa, y no se pueden vincular GPOs a este contenedor

    Lo mejor es hacer como puso Alfonso, de otra forma se puede hacer pero te complicarás muchísimo.

    Sería enlazando la GPO a nivel de Dominio,  y luego usar el permiso de "Apply group policy" con "Allow" y "Deny" para cada grupo, y además teniendo que cortar herencia de GPOs en otras OUs, etc. etc.

    Tiene solución, pero tendrás un gran trabajo de configuración y no hay garantía que te quede bien, haz como sugiere Alfonso :)

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    • Propuesto como respuesta Moderador M miércoles, 16 de diciembre de 2015 17:05
    • Marcado como respuesta xavipcpc martes, 29 de diciembre de 2015 8:43
    martes, 15 de diciembre de 2015 22:16
    Moderador

Todas las respuestas