none
Aplicar una GPO a un grupo de usuarios solo cuando acceden a un servidor de Terminal Server RRS feed

  • Pregunta

  • Hola a todos,

    Soy un poco novato en el tema de las directivas de grupo por lo que a ver si me podeis ayudar con un problema que tengo a la hora de aplicar una directiva de seguridad a un grupo de usuarios, os expongo el entorno:

    Servidor de Dominio con Windows Server 2008, Servidor de Terminal Server con Windows Server 2008 y Equipos en dominio.

    La idea es aplicar una directiva de seguridad del tipo limitando que puedan apagar el servidor o quitando los iconos del escritorio, en definitiva limitando el acceso a ciertos recursos, a un grupo de usuarios del dominio cuando estos accedan al servidor de Terminal Server pero no cuando acceden a sus equipos, es decir, que solo se aplique en el servidor de Terminal Server.

    El caso es que una vez creada esta directiva si se la aplico al grupo de usuarios me la aplica tambien cuando acceden a su equipo local, he buscado por los foros y he encontrado la opcion de activar el modo de procesamiento de bucle invertido para la directiva configurando los limites en una OU especifica con el servidor de Terminal Server y aplicando la seguridad al servidor y al grupo de usuarios, el caso es que me encuentro con que si no la vinculo al raiz del dominio no me aplica la directiva a los usuarios y si la vinculo me la aplica al servidor y a los equipos locales.

    ¿Que estoy haciendo mal? ¿Que otros metodos hay? o ¿como podria hacer esta configuracion?

    Muchas gracias a todos de antemano

    Un saludo

    Miguel

     

     

     

     

    miércoles, 24 de marzo de 2010 11:40

Respuestas

  • Crea una OU nueva (da igual el nombre) y mueve a ella los equipos que sirven Terminal Services. Sobre esa OU, aplica la GPO bloqueando el resto y habilitando el Loop back processing como "Replace".

    De este modo debería funcionar correctamente sin interferir en el resto de GPOs obteniendo el resutlado que buscas.

     


    Saludos,
    Marc
    MCSA/MCSE 2003
    MCITP: Enterprise Administrator
    MCTS: Exchange 2007
    miércoles, 24 de marzo de 2010 12:54
    Moderador
  • ¡¡¡Por fin funciona!!!, he eliminado todas las OU que cree probando, y he empezado de 0 y ya está funcionando.

    Para los que visiten este hilo en busca de solución a este problema les resumo:

    1.- Crear una OU y agregar la cuenta de equipo del servidor TS

    2.- Sobre esta OU crear dos GPO de la siguiente manera:

                1.- GPO de equipo loopback (modo de procesamiento de bucle invertido) habilitado como “sustituir”

    Seguridad equipo en Terminal Server (ver enlace "social.technet.microsoft.com/Forums/es-ES/wstses/thread/8b79a612-ec87-4b03-9dda-a857bc0bdc18"

                2.- GPO con las restricciones de usuario que necesitemos.

                3.- Para que las restricciones no se apliquen sobre la cuenta de administrador, en la configuración de la GPO establecer en la pestaña seguridad de la cuenta de administrador como “denegar política”.

    Gracias a todos por vuestra ayuda
    jueves, 18 de abril de 2013 9:25

Todas las respuestas

  • Crea una OU nueva (da igual el nombre) y mueve a ella los equipos que sirven Terminal Services. Sobre esa OU, aplica la GPO bloqueando el resto y habilitando el Loop back processing como "Replace".

    De este modo debería funcionar correctamente sin interferir en el resto de GPOs obteniendo el resutlado que buscas.

     


    Saludos,
    Marc
    MCSA/MCSE 2003
    MCITP: Enterprise Administrator
    MCTS: Exchange 2007
    miércoles, 24 de marzo de 2010 12:54
    Moderador
  • Hola Marc,

    desde otro milo me ha redirijido a este y, aunque veo que es bastante antiguo pero voy a probar a ver si tengo respuesta.

    Mi problema es identico al que se refiere Miguel, pero al intentar solventarlo tal y como tu indicas me encuentro con el siguiente problema:

    Si lo que quiero es por ejemplo, aplicar directivas de usuario como "Quitar el acceso a ejecutar" o "quitar el icono mis sitios de red del escritorio" estas directivas solo se aplicaran si en la OU hay usuarios pero si solo hay equipos no se aplicaran sobre los usuarios que accedan al servidor de terminales. Y dado que las restricciones solo quiero que se apliquen sobre un grupo de usuarios exclusivamente en ese servidor y no en sus equipos, no puedo mover a dichos usuarios a la misma OU donde se encuentra el servidor de terminales.

    Alguna idea al respecto?, como podría hacerlo? como digo en el otro hilo, estoy desesperado intentando hayar una solución a un problema, aparentemente, tan sencillo y común.

    Muchas gracias de antemano.

    martes, 16 de abril de 2013 15:04
  • Prueba como dice Marc, justamente el modo "loopback" es para que aplique las configuraciones de usuario de las GPOs que se aplican a las máquinas

    Aplicas la GPO con las limitaciones de usuario a la OU con los TS, luego te creas un usuario de prueba, y verás que cuando ingresas al TS le aplicará las limitaciones

     


    Guillermo Delprato - Buenos Aires, Argentina
    Visite Windows Server - Todos los Paso a Paso
    MVP [Directory Services] - MCT - MCSE - MCSA
    MAP - MCC - MCSA Windows Server 2012
    MCSA Windows Server 2008 MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory / Network Configuration / Applications Configuration / Server Virtualization / Windows 7 Configuration / Windows 7 & Office 2010 Deployment / Vista Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    martes, 16 de abril de 2013 16:08
    Moderador
  • Hola Guillermo, te copio la respuesta que he dado en mi hilo original.:

    Tomas, Nicolás,

    por fin funciona, aunque a medias: efectivamente aplicando el "loopback procesing mode" , para aquellos que lo tengan en castellano "modo de procesamiento de bucle invertido..." la directiva aplica solo cuando los grupos designados en "Security Filtering" incian sesión en el equipo de la OU donde se ha creado la GPO pero no en el resto de equipos. Seguiendo las pautas del enlace que indica Tomas

    Lo he probado con un equipo con windows XP y funciona perfectamente. ¡¡Perooooo!!, he aqui que donde no me está funcionando es en el servidor de terminales en donde quiero aplicar en producción la directiva, incluso he añadido este servidor a la misma OU donde he estado haciendo las pruebas y donde se encuentra el XP, pero nada, no hay manera. Las restricciones no se están aplicando en el servidor, el grupo de usuarios de TS está entrando sin restricciones.

    Algo se me está escapando en la configuración del TS que no está funcionando, deciros por si se os ocurre algo, que en las propiedades de "RDP-Tcp" tengo añadido el grupo de usuarios que pueden acceder al TS con permisos de invitado.

    Alguna idea, solución????

    Muchas gracias de antemano, me estais siriviendo de mucha ayuda.

    miércoles, 17 de abril de 2013 10:53
  • No sé cómo haz modificado el tema grupos, pero si no se cambia nada, todos los valores por omisión, funciona sin problemas

    El tema "Security Filtering" se debe tratar de usar sólo cuando es estrictamente necesario, pues puede complicar mucho el "troubleshooting" como te está sucediendo ahora :-)

    Una OU específica para los servidores TS/RD, con una GPO enlazada que tenga el "Loopback Process Mode", y en la parte de usuario todas las restricciones que necesites. Eso es todo

     


    Guillermo Delprato - Buenos Aires, Argentina
    Visite Windows Server - Todos los Paso a Paso
    MVP [Directory Services] - MCT - MCSE - MCSA
    MAP - MCC - MCSA Windows Server 2012
    MCSA Windows Server 2008 MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory / Network Configuration / Applications Configuration / Server Virtualization / Windows 7 Configuration / Windows 7 & Office 2010 Deployment / Vista Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    miércoles, 17 de abril de 2013 12:04
    Moderador
  • Hola Guillermo,

    pues estoy apunto de desistir definitivamente porque ahora ya no funciona nada de nada, desde que agregué el TS a la OU de pruebas no funciona ni para el equipo XP ni para otros equipos de prueba que he metido. Incluso he creado distintas OU de prueba, reproduciendo paso a paso lo que había hecho la primera vez, que si funcionó, pero nada. Ya no aplica las restricciones de la GPO a ningún grupo, he probado a dejar en filtering los "authenticated user" como aparece por defecto, pero no hay manera.

    La lastima es que el foro no me deja poner capturas de pantalla porque me dice que hasta que mi cuenta no sea verficada, no puedo poner imagenes o enlaces.

    miércoles, 17 de abril de 2013 14:02
  • Puedes poner enlaces :-) hay que ser ingenioso :-)

    www microsoft com

    ¿Sabes qué enlace es? :-D :-D :-D

     


    Guillermo Delprato - Buenos Aires, Argentina
    Visite Windows Server - Todos los Paso a Paso
    MVP [Directory Services] - MCT - MCSE - MCSA
    MAP - MCC - MCSA Windows Server 2012
    MCSA Windows Server 2008 MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory / Network Configuration / Applications Configuration / Server Virtualization / Windows 7 Configuration / Windows 7 & Office 2010 Deployment / Vista Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    miércoles, 17 de abril de 2013 16:48
    Moderador
  • ¡¡¡Por fin funciona!!!, he eliminado todas las OU que cree probando, y he empezado de 0 y ya está funcionando.

    Para los que visiten este hilo en busca de solución a este problema les resumo:

    1.- Crear una OU y agregar la cuenta de equipo del servidor TS

    2.- Sobre esta OU crear dos GPO de la siguiente manera:

                1.- GPO de equipo loopback (modo de procesamiento de bucle invertido) habilitado como “sustituir”

    Seguridad equipo en Terminal Server (ver enlace "social.technet.microsoft.com/Forums/es-ES/wstses/thread/8b79a612-ec87-4b03-9dda-a857bc0bdc18"

                2.- GPO con las restricciones de usuario que necesitemos.

                3.- Para que las restricciones no se apliquen sobre la cuenta de administrador, en la configuración de la GPO establecer en la pestaña seguridad de la cuenta de administrador como “denegar política”.

    Gracias a todos por vuestra ayuda
    jueves, 18 de abril de 2013 9:25