none
Incidencias GPO RRS feed

  • Pregunta

  • Hola a todos,

    Tengo un ligero problema con una GPO a ver si a alguien se le ocurre que puede estar pasando:

    Tengo dos controladores de dominio con W2008.

    Tengo una GPO en la raiz del dominio con permisos para un grupo de usuarios, dicha GPO limita el acceso a los dispositivos USB.

    Cuando inicio sesión contra dicho domino y lanzo un gpresult la gpo me aparece filtrada:

     

    Herramienta de resultados para la Directiva de grupos del sistema operativo Microsoft (R) Windows (R) XP v2.0
    Copyright (C) Microsoft Corp. 1981-2001

    Creado en 25/03/2010 a 10:47:31



    RSOP resultados para DOMINIO\Administrator en EQUIPO : modo de inicio de sesi¢n
    ------------------------------------------------------------------------------------

    Tipo de SO:                     Microsoft Windows XP Professional
    Configuraci¢n del sistema operativo:                  Estaci¢n de trabajo miembro
    Versi¢n del sistema operativo:                  5.1.2600
    Nombre de dominio:                 DOMINIO
    Tipo de dominio:                 Windows 2000
    Nombre de sitio:                  
    Perfil m¢vil:            
    Perfil local:               C:\Documents and Settings\Administrator
    ¨Conectado a un v¡nculo lento?: No


    CONFIGURACIàN DE EQUIPO
    ------------------------
        CN=EQUIPO,OU=Equipos,OU=EMPRESA,DC=DOMINIO,DC=com
        éltima vez que se aplic¢ las Directivas de grupo25/03/2010 at 10:34:47
        Directivas de grupo aplicadas desde DS-01.DOMINIO.COM
        Umbral del v¡nculo lento de las Directivas de grupo500 kbps

        Objetos de directiva de grupo aplicados
        ----------------------------------------
            Default Domain Policy
            Directiva de grupo local

        El equipo es miembro de los grupos de seguridad siguientes:
        -----------------------------------------------------------
            Administradores
            Todos
            Usuarios
            NT AUTHORITY\NETWORK
            Usuarios autentificados
            EQUIPO
            Domain Computers
           

    CONFIGURACIàN DE USUARIO
    -------------------------
        CN=Administrator,CN=USUARIOS,DC=DOMINIO,DC=com
        éltima vez que se aplic¢ las Directivas de grupo25/03/2010 at 10:43:01
        Directivas de grupo aplicadas desde DS-01.DOMINIO.COM
        Umbral del v¡nculo lento de las Directivas de grupo500 kbps

        Objetos de directiva de grupo aplicados
        ----------------------------------------
            n/a

        Los objetos GPO siguientes no se aplicaron porque fueron filtrados
        -------------------------------------------------------------------
            Default Domain Policy
                Filtrar:  No aplicado (vac¡o)

            Directiva de grupo local
                Filtrar:  No aplicado (vac¡o)


            Limitar acceso unidades externas y usb a usuarios
                Filtrar:  Denegado (Seguridad)


        El usuario es parte de los siguientes Grupos de seguridad:
        ----------------------------------------------------------
            Domain Users
            Todos
            Administradores
            Usuarios
            NT AUTHORITY\INTERACTIVE
            Usuarios autentificados
            LOCAL
            Domain Admins
            VCENTER_user
            Group Policy Creator Owners
            Enterprise Admins
            Schema Admins
            Allowed RODC Password Replication Group
            Denied RODC Password Replication Group


    jueves, 25 de marzo de 2010 11:12

Respuestas

  • Buenas tardes a todos,

    Como dije en mi pasado post, es cierto que el gpresult no es válido.

    Con un gpresult /user dominio/usuario pude ver que, efectivamente la política se le aplicaba correctamente al usuario aunque, en el equipo, se podían seguir abriendo los dispositivos USB.

    El Gpresult que posteé anteriormente no es válido. En el gpresult del usuario tengo la política apicada correctamente, no obstante en el cliente no se reflejan los resultados de la política, y esto es debido a que la política de Windows 2008 server no es compatible con clientes XP.

    Finalmente he optado por cambiar los permisos a los ficheros usbstor.inf. Menos elegante, dado que no controlas el acceso a dispositivos usb por usuario, sinó por sistema, pero igualmente efectivo.

    • Marcado como respuesta Daniel Alcober miércoles, 31 de marzo de 2010 7:24
    miércoles, 31 de marzo de 2010 7:23

Todas las respuestas

  • Te dice que la GPO no se ha aplicado a la rama de "Usuario". Revisa si el tema de mostrar o no los USB es una GPO de máquina o de usuario y aplícala sobre el grupo correspondiente.
    Saludos,
    Marc
    MCSA/MCSE 2003
    MCITP: Enterprise Administrator
    MCTS: Exchange 2007
    jueves, 25 de marzo de 2010 11:49
    Moderador
  • Daniel,por la salida del RSoP es evidente que al cambiar los permisos de la GPO hay alguno que está denegando la aplicación de la misma. Revisa los permisos que tienes modificados, seguramente hay alguno en Denegar

     


    Guillermo Delprato - MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration --- Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos. --- Buenos Aires, Argentina
    jueves, 25 de marzo de 2010 12:15
    Moderador
  • Cierto, no me fijé en el "Denegado". A ver qué responde Daniel
    Saludos,
    Marc
    MCSA/MCSE 2003
    MCITP: Enterprise Administrator
    MCTS: Exchange 2007
    jueves, 25 de marzo de 2010 13:50
    Moderador
  • Gracias por las contestaciones, lo cierto es que sigo teniendo el problema pero estaba planteado:

     

    El usuario con el que inicio sesión no  tiene permisos para abrir una consola con lo que lancé un runas con administrador, obviamente el Rsop resultante es el del administrador en ese equipo.

     

    No obstante he abierto un rsop en uno de los DC y he sacado el informe con el equipo y usuario. Me dice que, efectivamente, se aplica la directiva, aunque no es cierto, ya que la directiva, es para evitar que se abran dispositivos USB y cd (User Configuration->Administrative templates->System->Removable storage Acces) y en el equipo cliente se sigue podiendo acceder al USB y al CD ROM.

    Los DC son W2008 y los clientes XP SP3

     

    ¿Alguna idea de porqué no se está aplicando la GPO?

     

     

    viernes, 26 de marzo de 2010 11:45
  • Daniel, la aplicación de GPO mejor controlala desde el GPMC del DC en modo "logging" donde puedes ver perfectamente para el usuario en concreto, qué GPOs está aplicando y la configuración de cada una, como así también si hay eventos de error.

    De todas formas, el log que has pegado antes, da un Denegado, lo cual implica que esa diretiva tiene mal los permisos.

     


    Guillermo Delprato - MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration --- Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos. --- Buenos Aires, Argentina
    viernes, 26 de marzo de 2010 14:03
    Moderador
  • Buenas tardes a todos,

    Como dije en mi pasado post, es cierto que el gpresult no es válido.

    Con un gpresult /user dominio/usuario pude ver que, efectivamente la política se le aplicaba correctamente al usuario aunque, en el equipo, se podían seguir abriendo los dispositivos USB.

    He encontrado el problema, pero no la solución. windows Xp no soporta alguna de las nuevas políticas de Windows 2008 server, ésta es una de ellas.

    He intentado importar el adm del windows 2003 server en w 2008 server (el cual he probado y funciona) y al parecer, la nomenclatura ha cambiado porqué no ha funcionado en 2008.

     

    ¿Alguna idea?

    lunes, 29 de marzo de 2010 15:27
  • Revisa estos enlaces

    HOWTO: Use Group Policy to disable USB, CD-ROM, Floppy Disk and LS-120 drivers:
    http://support.microsoft.com/kb/555324

    How can I prevent users from connecting to a USB storage device?:
    http://support.microsoft.com/kb/823732


    Guillermo Delprato - MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration --- Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos. --- Buenos Aires, Argentina
    lunes, 29 de marzo de 2010 17:07
    Moderador
  • Antes que nada, daros las gracias a todos por contestar,

     

    El primer enlace ya lo había visto, pero desgraciadamente sólo es aplicable a sistemas W2003.

    Y el problema con la segunda opción lo tenemos en que es tediosa y compleja de implementar mediante GPs ya que no requiere únicamente cambiar los permisos de los ficheros usbstor.pnf y usbstor.ini sinó que para evitar el acceso a dispositivos ya instalados tenemos que modificar el registro o ejecutar una aplicación.

     

     

     

     

    martes, 30 de marzo de 2010 6:41
  • Daniel, revisa el tema del permiso denegado, porque si no funciona es porque están mal los permisos.

     


    Guillermo Delprato - MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration --- Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos. --- Buenos Aires, Argentina
    martes, 30 de marzo de 2010 11:34
    Moderador
  • Buenas tardes a todos,

    Como dije en mi pasado post, es cierto que el gpresult no es válido.

    Con un gpresult /user dominio/usuario pude ver que, efectivamente la política se le aplicaba correctamente al usuario aunque, en el equipo, se podían seguir abriendo los dispositivos USB.

    El Gpresult que posteé anteriormente no es válido. En el gpresult del usuario tengo la política apicada correctamente, no obstante en el cliente no se reflejan los resultados de la política, y esto es debido a que la política de Windows 2008 server no es compatible con clientes XP.

    Finalmente he optado por cambiar los permisos a los ficheros usbstor.inf. Menos elegante, dado que no controlas el acceso a dispositivos usb por usuario, sinó por sistema, pero igualmente efectivo.

    • Marcado como respuesta Daniel Alcober miércoles, 31 de marzo de 2010 7:24
    miércoles, 31 de marzo de 2010 7:23