none
Parte de las políticas no se aplican en Windows 2003 Server RRS feed

  • Pregunta

  • Hola,

    Tengo una serie de políticas que se ejecutan en una OU del AD de Windows 2008.

    Todas las máquinas de la OU las ejecutan bien, pero una de ellas a pesar que dice que lo hace (aparecen aplicadas en el gpresult), aplica las plantillas administratirvas y no los parámetros de seguridad.

    La máquina que no aplica es Windows 2003 R2 SP1 Spanish standar 32 bits. Pertenece a los mismos grupos que otras máquinas de la OU con el mismo S.O. y configuración que si que aplican bien, pero esta no lo hace. En concreto me interesa añadir una serie de grupos del dominio a BUILTIN\Administradores. Como digo, las demás máquinas lo hacen.

    He probado a sacarla del dominio y borrar la cuenta, esperar a que se replique todo y volver a meterla. En la herramienta de gestión de políticas de grupo de 2008 he probado el Modeling y el resultado es que se deberían aplicar, pero en la misma herramienta he probado "results" y no se aplican.

    En el visor de sucesos aparece que las políticas se han aplicado correctamente. No hay errores.

    He sacado un gpresult /scope computer /z y dice para esa parte (security settings) N/A. No sé si significa Not available o Not applicable. En ese registro se ve como si se aplican las plantillas administratirvas.

    ¿Alguién ha visto algo parecido? ¿Dónde puede estar el problema?

    Saludos y gracias por la ayuda.

     

    martes, 24 de agosto de 2010 15:54

Respuestas

  • En la que no aplica, ejecuta en la línea de comandos "SET" (sin comillas) :-)

    Y revisa la variable LOGONSERVER que indica cuál DC autenticó, y por lo tanto de dónde trata de aplicar las GPOs.
    A partir de eso revisa que los DCs no tengan problemas de replicación, especialmente el indicado en la variable.

    Y si no funciona habrá que llevarla a que le cure las "malas ondas" :-)

     


    Guillermo Delprato - Buenos Aires, Argentina
    MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.
    jueves, 26 de agosto de 2010 18:42
    Moderador
  • La máquina durante el inicio se valida, contra un DC y arma lo que se llama un "canal seguro de comunicación" con el mismo.
    Cuando valida al usuario envía el pedido al mismo DC.
    Así que LOGONSERVER apunta al DC que validó a ambos, máquina y usuario.

    También, por los síntomas, creo que el problema debe venir por el uso de más de un idioma...

    En W2008 se soluciona porque cada GPO puede usar plantillas separadas por idioma, pero en W2003 no.

    Dentro de la GPO que está causando problemas, revisa en cada DC el archivo ADM que está dentro de la GPO en el Sysvol, y comprueba que todas estén en el mismo idioma.

    W2003, hace alguna cosa "no muy buena" con las plantillas ADM de las GPOs, ya que de acuerdo con qué consola y desde dónde se edite, usa los ADMs locales, los del servidor, o inclusive puede reemplazar con las locales las del servidor automáticamente y sin avisar. :-(

     


    Guillermo Delprato - Buenos Aires, Argentina
    MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.
    sábado, 28 de agosto de 2010 10:57
    Moderador

Todas las respuestas

  • Raro raro... ;-)
    Pero tratemos de investigar

    Los DCs y la que no aplican ¿tienen el mismo idioma?

    La que no aplica ¿es un DC?

     


    Guillermo Delprato - Buenos Aires, Argentina
    MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.
    martes, 24 de agosto de 2010 20:40
    Moderador
  • Todos los DC's con roles son Windows Server 2008 x64 standar Ensglish. Los dos DC's de su site también son así. Hay otros DC's que son Windows 2008 x32 Spanish.

    El que no aplica no es DC, es Windows 2003 Server R2 SP1 standar Spanish 32 bits por lo que el idioma es diferente, pero existe una máquina con idéntico hardware y software en su mismo site, con el mismo direccionamiento de red y en principio con las mismas configuraciones que realiza la misma función (contienen una réplica de la misma base de datos) en la que sólamente cambia la ip y el nombre y en la que se aplica todo perfectamente. Hemos probado a eliminar un grupo de los que añadimos por políticas al grupo de administración y al reaplicar las políticas se añade de nuevo.

    Pienso que se ha tenido que corromper algo, no le encuentro explicación.

    ¿Algo mejor que una reinstalación?

     

    Gracias.

    miércoles, 25 de agosto de 2010 7:23
  • Cuidado con la "mezcla de idiomas" en los DCs :-)
    Si se trata de utilizar el grupo "Administradores" y  resulta que se llama "Administrators" no funcionará

    Otra posibilidad para que no aplique parte de una GPO: revisa con un GPRESULT /V si no está detectando un vínculo lento, porque en ese caso hay configuraciones que no aplica

    Para reinstalar hay tiempo :-)

     


    Guillermo Delprato - Buenos Aires, Argentina
    MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.
    miércoles, 25 de agosto de 2010 18:44
    Moderador
  • El GPRESULT /V no ha detectado vínculo lento.

    Comprendo que puede ser un problema la mexcla de SO, en los DC, pero de momento no tengo remedio. De todas formas ya te digo que hay otra máquina exactamente igual con mismo hardware y software y recibe las politicas correctamente.

     

    Será esto un Poltergeist?

    jueves, 26 de agosto de 2010 14:29
  • En la que no aplica, ejecuta en la línea de comandos "SET" (sin comillas) :-)

    Y revisa la variable LOGONSERVER que indica cuál DC autenticó, y por lo tanto de dónde trata de aplicar las GPOs.
    A partir de eso revisa que los DCs no tengan problemas de replicación, especialmente el indicado en la variable.

    Y si no funciona habrá que llevarla a que le cure las "malas ondas" :-)

     


    Guillermo Delprato - Buenos Aires, Argentina
    MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.
    jueves, 26 de agosto de 2010 18:42
    Moderador
  • La variable LOGONSERVER apunta a un DC de su site. En principio todo correcto.

    En cualquier caso, esa variable habla del logon del usuario, ¿no?

    ¿Hay algún sitio donde mirar dónde se identificó la máquina?

     

    Gracias.

    Saludos.

    viernes, 27 de agosto de 2010 7:14
  • La máquina durante el inicio se valida, contra un DC y arma lo que se llama un "canal seguro de comunicación" con el mismo.
    Cuando valida al usuario envía el pedido al mismo DC.
    Así que LOGONSERVER apunta al DC que validó a ambos, máquina y usuario.

    También, por los síntomas, creo que el problema debe venir por el uso de más de un idioma...

    En W2008 se soluciona porque cada GPO puede usar plantillas separadas por idioma, pero en W2003 no.

    Dentro de la GPO que está causando problemas, revisa en cada DC el archivo ADM que está dentro de la GPO en el Sysvol, y comprueba que todas estén en el mismo idioma.

    W2003, hace alguna cosa "no muy buena" con las plantillas ADM de las GPOs, ya que de acuerdo con qué consola y desde dónde se edite, usa los ADMs locales, los del servidor, o inclusive puede reemplazar con las locales las del servidor automáticamente y sin avisar. :-(

     


    Guillermo Delprato - Buenos Aires, Argentina
    MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.
    sábado, 28 de agosto de 2010 10:57
    Moderador
  • Disculpa por le retraso.

    Gracias por la información. Al final no he encontrado problemas con las plantillas administrativas. De todas formas comrpobé en la máquina que era completamente igual y que procesa bien las políticas que también se validaba en el mismo DC.

    Así que parece que esto es un callejón sin salida.

    Lamento decirte que se me ha acabado el tiempo y debemos reinstalarla ya que seguramente va a funcionar (espero).

    Muchas gracias por tu ayuda.

    martes, 31 de agosto de 2010 16:05