none
LENTITUD INICIO DE SESION Y CIERRE EN EQUIPOS CLIENTE W7 CON DOMINIO WS2012R2 RRS feed

  • Pregunta

  • Buenos días,

    Tengo un dominio con WS2012R2 y equipos cliente con S.O. W7.

    Desde hace unos meses tarda un montón el inicio de sesión en dominio y el apagado de los equipos clientes.

    Temo que sea por el uso de grupos de seguridad (gs) con membresía recursiva. Así es como lo tenemos montado:

    Un usuario es miembro de > GS departamental

    GS departamental es miembro de > GS de impresora1, GS de impresora2, GS de VLAN, GS de recurso de red 1.1-2-3, GS de recurso de red 2.1-2-3

    A su vez el GS de recurso de red "GS de recurso de red 1.1-2-3" (correspondiente al 3º nivel de carpeta), es miebro del "GS de recurso de red 1.1-2" (correspondiente al 2º nivel de carpeta) y éste a su vez, miembro del "GS de recurso de red 1.1" (correspondiente al 1º nivel de carpeta).

    (De igual forma pasaría con el "GS de recurso de red 2.1-2-3", y en algúnos casos también habría anidamiento de GS con los GS de las impresoras y los GS de VLAN).

    Las impresoras y unidades de red se montan mediante una única GPO. Dentro de esta GPO, en el apartado de unidades de red, a nivel de cada unidad de red existe un filtrado por pertenencia de usuario a GS (ej.:"GS de recurso de red 1") . Es decir, que si un usuario pertenece al "GS de recurso de red 1.1-2-3" se le montará la "unidad de red 1" pudiendo acceder hasta el nivel 3º de carpetas de esa unidad por membresía al GS correspondiente obtenido por anidamiento. Para las impresoras, pasaría de igual forma que con las unidades de red.

    Esta metodología la empleábamos en mi anterior empresa y no llegamos a notar lentitud en el inicio de sesión ni en el apagado de los pc's. Si es verdad que el nivel de anidamiento era menor.

    Buscando en internet, he dado con esta página donde se comenta que el anidamiento puede llegar a ser un problema y que existe un fixed para el equipo cliente que de problemas (en mi caso todos) que podría solucionarlo:

    https://support.microsoft.com/es-es/kb/2561285

    Quería saber que opinión os merece este problema. Si pensáis que efectivamente pueda ser el anidamiento de GS un problema para el inicio y apagado de los equipos cliente. Cuál sería una mejor práctica para el montaje y desmontaje automático de impresoras a través de AD que permita dar permisos de forma lo más granulada posible (a nivel de recurso a cada usuario) y que sea todo gestionable a través de AD (no dando preferiblemente permisos directamente sobre el objeto a compartir).

    Muchas gracias por vuestras opiniones y comentarios.

    Reciban un cordial saludo.

    lunes, 26 de septiembre de 2016 12:04

Respuestas

  • El diseño de la jerarquía de Unidades Organizativas tiene dos objetivos:
    1.- Delegación de tareas de administración
    2.- Facilitar la aplicación de GPOs

    Dejando ahora de lado el primero, y enfocándose en el segundo

    Crear esta jerarquía de OUs no es fácil y lleva tiempo a veces, porque a mi entender el objetivo es tratar de usar al máximo la herencia, y cuanto menos se use cortar herencia o forzar más fácil será de mantener o detectar problemas

    A lo anterior, sobre todo tratar, salvo que sea estrictamente necesario, el uso de filtrado de seguridad, y que justamente hace poco por una actualización de seguridad trajo problemas con esta opción

    GPOs No Se Aplican (MS16-072 – KB3163622 y KB2919355) | WindowServer:
    https://windowserver.wordpress.com/2016/07/19/gpos-no-se-aplican-ms16-072-kb3163622-y-kb2919355/

    No tengo problema en crear la cantidad de UO que necesite, no "cuestan" prácticamente, son unos pocos bytes en el AD, y deben reflejar la administración, no el organigrama de la organización

    Jamás he usado "Item-level targeting" para discriminar por grupos, si por otros temas pero más relacionados a hardware

    Primero trato de lograr el objetivo con OUs, y si no pudiera entonces con cuidado filtrado de seguridad si no queda más remedio

    Inclusive por trabajar muchas veces con versiones de clientes de todo tipo, en lugar de preferencias uso "Logon Scripts" asignados por GPO, no por usuario, u otra opción, por ejemplo:

    Instalando Impresoras por Directivas de Grupo (GPOs) | WindowServer:
    https://windowserver.wordpress.com/2015/12/15/instalando-impresoras-por-directivas-de-grupo-gpos/

    El objetivo es siempre, obtener el resultado trabajando lo menos posible :)

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    • Propuesto como respuesta Moderador M miércoles, 5 de octubre de 2016 16:55
    • Marcado como respuesta Moderador M miércoles, 12 de octubre de 2016 20:37
    miércoles, 5 de octubre de 2016 10:35
    Moderador

Todas las respuestas

  • Hola RikiRicón, podría ser que ese hotfix solucione, pero si revisas la versión en inglés, que es más clara, acota el problema a sólo si usas la parte de "Preferencias" y "Item-level targeting" ¿realmente tienes eso configurado?

    Por otro lado, creo que estás haciendo un uso bastante complicado de grupos, faltaría saber qué tipo de grupos haz usado (Locales de Dominio, Locales, Globales o Universales)

    En general, y salvo casos muy particulares, la recomendación de Microsoft es usar los grupos Globales para agrupar cuentas con las mismas o similares funciones (LosJefes, el Departamento, etc.), y usar los grupos Locales de Dominio, para dar los permisos en cada servidor

    En cada recurso se dan los permisos necesarios a cada grupo Local de Dominio

    [Edito] La frase anterior hacía referencia a grupo Global, cuando lo recomendable es Local de Dominio

    De esta forma si alguien ingresa o egresa de una función/departamento, simplemente lo agregas o quitas del grupo y ya tiene o pierde todos los permisos

    Por si te sirve de ayuda, revisa los siguientes enlaces:

    Uso Recomendado de Grupos en Dominios Windows Server | WindowServer:
    https://windowserver.wordpress.com/2012/12/14/uso-recomendado-de-grupos-en-dominios-windows-server/

    Instalando Impresoras por Directivas de Grupo (GPOs) | WindowServer:
    https://windowserver.wordpress.com/2015/12/15/instalando-impresoras-por-directivas-de-grupo-gpos/ 

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.


    lunes, 26 de septiembre de 2016 14:59
    Moderador
  • Muchísimas gracias por tu ayuda Guillermo.

    Estoy haciendo uso de los Grupos Globales de Seguridad de dominio para administrar los permisos a recursos. Como comenté anteriormente, estos los asocio a accesos a unidades y carpetas de red, impresoras y VLAN (asociación en el FW de un GS global de dominio a una regla) y a determinados privilegios sobre máquina o usuario (por ejemplo, poder ejecutar el comando "ping") administradas mediante reglas en una GPO.

    Para mayor aclaración de lo que hago, menciono un "ejemplo" de como anido los Grupos Globales de Seguridad de dominio. Cada tabulación es un GS global de dominio que se encuentra como "miembro de" del grupo inmediatamente superior.

    GS_ROL_USUARIO_DEPARTAMENTO_CONTABILIDA

         GS_PERMISOS_ESPECIALES_EN_GPO_PARA_CONTABILIDAD

         GS_PERMISO_CARPETA DE RED_1.2 (este a su vez es miembro de GS_PERMISO_CARPETA DE RED_1)

         GS_IMPRESORA_CONTABILIDAD

         GS_VLAN_CONTABILIDAD

    Con esta curiosa metodología que aprendí en mi anterior puesto de trabajo, lo que logro es que al dar de alta a un nuevo usuario en la empresa, haga a éste miembro del GS_ROL_USUARIO_DEPARTAMENTO_CONTABILIDA, y automáticamente ya sea miembro de los GS GS_PERMISOS_ESPECIALES_EN_GPO_PARA_CONTABILIDAD, GS_PERMISO_CARPETA DE RED_1.2 (y por anidamiento, también miebro del GS_PERMISO_CARPETA DE RED_1 para poder traspasar esta carpeta _1 hasta llegar a la _1.2), GS_IMPRESORA_CONTABILIDAD y GS_VLAN_CONTABILIDAD

    Este es un ejemplo en versión "light" dado que pueden aparecer muchos anidamientos de grupo, sobre todo relaccionado con los GS que permiten acceder a carpetas de hasta 3 o 4 niveles hacia adentro.

    La verdad es que puede resultar algo enrevesado, pero hasta ahora era la única forma que conozco y pensé que era optimo y cómodo de administrar si se tienen claras las membresías por anidamiento que se han realizado. Hasta ahora nunca se me había dado el caso de lentitud en los inicios y apagados de los equipos clientes, por lo que pensé que ésta técnica no estaba mal.

    Muchas gracías nuevamente por tu ayuda. No se si te sirve de algo más el ejemplo que te he aportado para entender con mayor detalle que es lo que hago.

    Voy a echar un vistazo a los enclaces que me has mandado y eso que me comentas sobre la parte de "Preferencias" y "Item-level targeting" a ver como está, porque la configuración de las GPO en gran parte las heredé de otro departamento y no sabría contestarte a esto ahora mismo.

    En cuanto tenga algo más claro volveré a escribir.

    Muchísimas gracias nuevamente por tu ayuda.

    Recibe un cordial saludo.

    jueves, 29 de septiembre de 2016 13:01
  • Hola RikiRicón, estoy viendo que en mi respuesta anterior puse algo que no es lo recomendable, y en cuanto finalice este lo voy a corregir

    No recomendable, y que me equivoqué al escribir: "En cada recurso se dan los permisos necesarios a cada grupo Global"

    Recomendado: "En cada recurso se dan los permisos necesarios a cada grupo Local de Dominio"

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    • Propuesto como respuesta Moderador M viernes, 30 de septiembre de 2016 15:37
    • Marcado como respuesta Moderador M martes, 4 de octubre de 2016 21:36
    • Desmarcado como respuesta Moderador M miércoles, 5 de octubre de 2016 16:55
    jueves, 29 de septiembre de 2016 14:19
    Moderador
  • Hola de nuevo Guillermo,

    Efectivamente estoy haciendo uso en la GPO de la parte de "Preferencias" y "Item-level targeting".

    Concretamente como creo haber comentado, uso una única GPO para el montaje de las impresoras e unidades de red a través de dicho apartado de la GPO. Por cada recurso (impresora o unidade de red) aplico un filtrado "Item-level targeting", haciendo uso de las opciones AND y OR para que se monte dicho recurso en caso de que el usuario que esté iniciando sesión en un puesto de trabajo sea miembro por membresía del GGS (Grupo Global de Seguridad) de dominio asociado a dicho recurso. Ya sabes que "por membresía" puedo llegar en algunos casos a anidar un montón de GGS de dominio hasta que se llega al GSS de dominio asociado a dicho recurso. No sabía que, ya bien sea exceso de anidamiento de GSS de dominio o por el uso de la parte de GPO "Preferencias" y "Item-level targeting" pudiese generar tanta lentitud, tanto en el inicio de sesión como con el apagado de los puestos de trabajo.

    Tengo aún pendiente probar ese fixit. Quedo a la espera de tus comentarios si procede.

    Muchísimas gracias nuevamente por tu ayuda.

    Que tengas un buen día y recibe un cordial saludo.

    miércoles, 5 de octubre de 2016 7:24
  • El diseño de la jerarquía de Unidades Organizativas tiene dos objetivos:
    1.- Delegación de tareas de administración
    2.- Facilitar la aplicación de GPOs

    Dejando ahora de lado el primero, y enfocándose en el segundo

    Crear esta jerarquía de OUs no es fácil y lleva tiempo a veces, porque a mi entender el objetivo es tratar de usar al máximo la herencia, y cuanto menos se use cortar herencia o forzar más fácil será de mantener o detectar problemas

    A lo anterior, sobre todo tratar, salvo que sea estrictamente necesario, el uso de filtrado de seguridad, y que justamente hace poco por una actualización de seguridad trajo problemas con esta opción

    GPOs No Se Aplican (MS16-072 – KB3163622 y KB2919355) | WindowServer:
    https://windowserver.wordpress.com/2016/07/19/gpos-no-se-aplican-ms16-072-kb3163622-y-kb2919355/

    No tengo problema en crear la cantidad de UO que necesite, no "cuestan" prácticamente, son unos pocos bytes en el AD, y deben reflejar la administración, no el organigrama de la organización

    Jamás he usado "Item-level targeting" para discriminar por grupos, si por otros temas pero más relacionados a hardware

    Primero trato de lograr el objetivo con OUs, y si no pudiera entonces con cuidado filtrado de seguridad si no queda más remedio

    Inclusive por trabajar muchas veces con versiones de clientes de todo tipo, en lugar de preferencias uso "Logon Scripts" asignados por GPO, no por usuario, u otra opción, por ejemplo:

    Instalando Impresoras por Directivas de Grupo (GPOs) | WindowServer:
    https://windowserver.wordpress.com/2015/12/15/instalando-impresoras-por-directivas-de-grupo-gpos/

    El objetivo es siempre, obtener el resultado trabajando lo menos posible :)

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    • Propuesto como respuesta Moderador M miércoles, 5 de octubre de 2016 16:55
    • Marcado como respuesta Moderador M miércoles, 12 de octubre de 2016 20:37
    miércoles, 5 de octubre de 2016 10:35
    Moderador