Remove From My Forums

GPO no se aplican a los usuarios

Pregunta
0

Inicie sesión para votar

Buenas tardes

En la empresa donde trabajo tenemos configurado el active directory en windows server 2012, allí hemos creado unas GPO las cuales deben aplicarse para diferentes OU.

tenemos OU separadas por departamentos de acuerdo a cada oficina de la empresa y una OU para los equipos(aqui se encuentran asociados los service tag de cada uno de los pc).

Sucede que cuando creamos las GPO y las asociamos a OU de usuarios, esas GPO no se aplican, la unica forma para que funcionen es asociandolas a la OU de equipos.

Pero lo correcto es que las politicas se aplican unicamente asociandolas a los usuarios y no a los equipos. Así funcionaba cuando teniamos el active directory en Windows server 2008 R2.

martes, 21 de junio de 2016 20:57

Responder

|

Citar

Todas las respuestas

1

Inicie sesión para votar

Hola Maye Monsalve, las GPOs tienen dos ramas: "Computer Configuration", y "User Configuration". Por supuesto, cada una de ellas tiene las configuraciones que se aplican por máquina, y por usuario, respectivamente

Si la GPO tiene configuraciones en la parte de máquina, entonces debe estar vinculada a la OU donde están las cuentas de máquina. Y análogamente si tiene configuraciones de usuario debe aplicarse a la OU donde están las cuentas de usuario

Si tanto usuarios como máquinas "cuelgan" desde una determinada OU, entonces sí, puedes aplicar la GPO que tenga ambas configuraciones a esta OU

Por si te sirve de ayuda, dejo un enlace que explica el funcionamiento básico: Cómo Funcionan las Directivas de Grupo (GPOs) | WindowServer:
https://windowserver.wordpress.com/2011/02/10/como-funcionan-las-directivas-de-grupo-gpos/
Guillermo Delprato
Buenos Aires, Argentina
El Blog de los paso a paso
MVP - MCSE - MCSA2012
MCITP: Enterprise Administrator / Server Administrator
MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

martes, 21 de junio de 2016 22:13

Responder

|

Citar

Moderador
0

Inicie sesión para votar

Buenas tardes, Guillermo, muchas gracias por tu respuesta.

las GPO tienen solo configuración en la parte de usuario, pero aun así no funcionan para las OU usuarios, si la vinculo a la OU de equipos ahí si funciona.

Te muestro la configuración, en este caso es para activar el proxy en el inicio de sesión del usuario

martes, 21 de junio de 2016 22:25

Responder

|

Citar
1

Inicie sesión para votar

¿Puedes poner cuáles son las configuraciones? el "path" a cada una por favor. Porque la configuración de proxy es una de las problemáticas porque depende de la versión del IE se hace de una forma o de otra. Si buscas en el foro verás el tema

La que veo por omisión de IE está justamente en "Computer Configuration / Policies / Administrative Templates / Windows Components / Internet Explorer"

Guillermo Delprato
Buenos Aires, Argentina
El Blog de los paso a paso
MVP - MCSE - MCSA2012
MCITP: Enterprise Administrator / Server Administrator
MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

miércoles, 22 de junio de 2016 11:24

Responder

|

Citar

Moderador

Inicie sesión para votar

Buenos días, Guillermo

Esta es la configuración del path para el proxy:

Configuración del usuario (habilitada)

Preferencias

Configuración de Windows

Registro

AutoConfigURL (orden: 1)

General

Acción

Crear

Propiedades

Subárbol	HKEY_CURRENT_USER
Ruta de la clave	Software\Microsoft\Windows\CurrentVersion\Internet Settings
Nombre de valor	AutoConfigURL
Tipo de valor	REG_SZ
Información del valor	: http://aqui_va_la_dirección_de_nuestro_proxy/proxy.pac

Adicionalmente te cuento que tengo una GPO para restringir el acceso al panel de control y está configurada tal y como se muestra en varios foros de internet, pero al igual que la anterior no funciona en las OU de usuarios, es mas incluí a un usuario en la OU de equipos para ver si algo anda mal con la OU de usuarios, pero no funcionó, mis GPO se estan aplicando solo para los equipos, y cuando tenía el active directory en Windows 2008 esto no me sucedía.

Agradezco tu ayuda

miércoles, 22 de junio de 2016 13:33

1

Inicie sesión para votar
Para poner el proxy utiliza lo que indica este enlace que creo que es diferente clave la que utilizas

Windows Server Directory Services: Configurar GPO de usuario para proxy:
http://ignaba.blogspot.com.ar/2015/11/configurar-gpo-de-usuario-para-proxy.html

Por otro lado ¿qué sistema operativo tienen los clientes? porque las preferencias las pueden procesar únicamente los sistemas "más nuevos" :)

En el siguiente enlace revisa la parte "System Requirements and installation steps"

Group Policy Preferences Getting Started Guide
https://technet.microsoft.com/en-us/library/cc731892(v=ws.10).aspx

Y por último, para estar seguros seguros :) ¿Se está vinculando a la OU donde están las cuentas? No donde están los grupos de usuarios ¿si? por las dudas ...

Y además en el cliente, desde un CMD ejecuta GPRESULT /R para comprobar que la GPO se está efectivamente aplicando

Guillermo Delprato
Buenos Aires, Argentina
El Blog de los paso a paso
MVP - MCSE - MCSA2012
MCITP: Enterprise Administrator / Server Administrator
MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.
- Propuesto como respuesta Moderador M miércoles, 22 de junio de 2016 15:23
- Votado como útil Moderador M jueves, 21 de julio de 2016 14:46
miércoles, 22 de junio de 2016 15:18

Responder

|

Citar

Moderador
0

Inicie sesión para votar

Hola, Guillermo, realicé el cambio que me indicaste pero aun así sigue sin aplicarse la GPO.

Cuando ejecuto gpresult /r, no me la muestra ni en las GPO aplicadas ni en las GPO que no se pudieron aplicar, es decir la GPO no aparece por ningun lado.

La GPO la vinculo a la OU donde estan las cuentas de los usuarios.

miércoles, 22 de junio de 2016 16:14

Responder

|

Citar
0

Inicie sesión para votar

Hola Maye Monsalve, si el GPRESULT /R no muestra las GPOs aplicadas, entonces esa es la base del problema

Ejecutado como administrador debe mostrar tanto las de máquina como las de usuario. Y si se ejecuta con un usuario normal debe mostrar sólo las GPOs que aplican al usuario

¿Muestra la "Default Domain Policy?

Cuando te refieres a la OU Usuarios, entiendo que no es el contenedor por omisión "Users" porque en éste no se pueden enlazar GPOs

Pienso que el problema puede venir por otro lado. Veamos primero si realmente están en contacto con el Dominio. Crea en el Dominio un usuario nuevo, y trata de iniciar sesión con el mismo en una de las máquinas que tengan el problema

Si da error es importante que lo pongas acá textualmente

Guillermo Delprato
Buenos Aires, Argentina
El Blog de los paso a paso
MVP - MCSE - MCSA2012
MCITP: Enterprise Administrator / Server Administrator
MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

miércoles, 22 de junio de 2016 17:26

Responder

|

Citar

Moderador
2

Inicie sesión para votar

Guillermo, si suponemos que los equipos (o al menos varios de ellos, sin distinción de clientes o servidores) están al día con las últimas actualizaciones de seguridad, ¿el problema podría tener relación con un cambio introducido en las actualizaciones del boletín MS16-072? Parece importante tenerlo en cuenta para futuras investigaciones de problemas relacionados con las GPO.

MS16-072: Security update for Group Policy: June 14, 2016 (véanse los problemas conocidos)
Deploying Group Policy Security Update MS16-072 \ KB3163622
New Group Policy Patch MS16-072– “Breaks” GP Processing Behavior
MS16-072 – Known Issue – Use PowerShell to Check GPOs
Script to report on and remediate the Group Policy security change in MS16-072
Never a dull moment with Group Policy (or what to do about MS16-072)

miércoles, 22 de junio de 2016 17:57

Responder

|

Citar
0

Inicie sesión para votar

Guillermo, la Default Domain Policy, si la muestra en el gpresult /r.

Este problema me sucede en todos los equipos del dominio y con todos los usuarios.

La OU de usuarios no es el contenedor Users.

Probé creando un usuario nuevo e incluyendolo en una OU nueva pero sigue sin funcionar, los usuarios inician sesión sin problema en los equipos.

Pero no logro que las GPO apliquen a las OU de usuarios, solo se aplican si las vinculo a la OU de equipos.

miércoles, 22 de junio de 2016 18:30

Responder

|

Citar
0

Inicie sesión para votar

¡Gracias Ramón! no se me había ocurrido, he sufrido una disasociación mental :) porque he respondido en el hilo que trata el tema https://social.technet.microsoft.com/Forums/es-ES/b314f842-f2f6-47b0-830c-d2a0286d48b1/polticas-vinculadas-gpo-dejaron-de-funcionar-tras-actualizar-kb3159398?forum=wsgpes

Ya le respondo a Maye. Gracias nuevamente ¿por qué no lo haz hecho? :)

Guillermo Delprato
Buenos Aires, Argentina
El Blog de los paso a paso
MVP - MCSE - MCSA2012
MCITP: Enterprise Administrator / Server Administrator
MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

miércoles, 22 de junio de 2016 18:46

Responder

|

Citar

Moderador
1

Inicie sesión para votar

Hola Maye, revisa los enlaces que puso Ramón Sola, que me parece que por ahí viene el problema

También se ha tratado el tema en https://social.technet.microsoft.com/Forums/es-ES/b314f842-f2f6-47b0-830c-d2a0286d48b1/polticas-vinculadas-gpo-dejaron-de-funcionar-tras-actualizar-kb3159398?forum=wsgpes

A ver si el problema viene por la actualización

Guillermo Delprato
Buenos Aires, Argentina
El Blog de los paso a paso
MVP - MCSE - MCSA2012
MCITP: Enterprise Administrator / Server Administrator
MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

miércoles, 22 de junio de 2016 18:47

Responder

|

Citar

Moderador
0

Inicie sesión para votar

Hola, Guillermo, he revisado los permisos en la GPO y todo está aparentemente normal. De igual forma desinstalé la actualización y reinicié el Active Directory, pero aún así el problema continúa.

miércoles, 22 de junio de 2016 20:32

Responder

|

Citar
0

Inicie sesión para votar

Hagamos una prueba, crea una Unidad Organizativa. Dentro de esta crea un usuario de prueba que sea nuevo, nunca usado anteriormente

Aplicale a la OU una GPO que sea fácil de verificar, por ejemplo que le prohiba ingresar al Panel de Control

Prueba desde la máquina cliente con este usuario para ver si aplica la GPO

¿Qué sistema operativo tienen los clientes?

Guillermo Delprato
Buenos Aires, Argentina
El Blog de los paso a paso
MVP - MCSE - MCSA2012
MCITP: Enterprise Administrator / Server Administrator
MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

miércoles, 22 de junio de 2016 22:31

Responder

|

Citar

Moderador
0

Inicie sesión para votar

Realicé la prueba que me indicaste creé una nueva OU llamada Unidad prueba y dentro de ella creé el usuario u_test. Creé la politica para restringir el acceso al panel de control, inicié sesión en 3 máquinas diferentes y al ejecutar GPRESULT /R continua sin aparecer la GPO.

Los sistemas operativos de las máquinas clientes son Windows 7, Windows 8.1 y Windows 10

jueves, 23 de junio de 2016 13:42

Responder

|

Citar
1

Inicie sesión para votar

Entonces, acotando el problema, no es que no aplica esa GPO que necesitas, sino que no aplica ninguna GPO

Si dices que haz revisado los permisos de la GPO, y específicamente el tema a verificar es que el grupo "Authenticated Users" tenga permisos permitidos de "Read" y "Apply Group Policy", entonces toca que investigues

¿Hay más de un Controlador de Dominio?

Revisa en los visores de eventos de clientes y Controladores de Dominio, por errores relacionados

Guillermo Delprato
Buenos Aires, Argentina
El Blog de los paso a paso
MVP - MCSE - MCSA2012
MCITP: Enterprise Administrator / Server Administrator
MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

jueves, 23 de junio de 2016 15:14

Responder

|

Citar

Moderador
0

Inicie sesión para votar

Hola, Guillermo, sí los permisos del grupo "Authenticated Users" tienen los permisos que indicaste. Tenemos dos máquinas que funcionan como controladores de dominio el principal el cual se replica en el secundario.

Al revisar en los visores de eventos no hay ningun error.

jueves, 23 de junio de 2016 21:18

Responder

|

Citar
0

Inicie sesión para votar

Es especificamente a los usuarios que no se aplica, porque probé agregando un equipo a una OU de usuarios y al equipo si le aplica.

jueves, 23 de junio de 2016 21:19

Responder

|

Citar
0

Inicie sesión para votar

Ya se me acaban los conocimientos :)

Por una casualidad ¿existe un usuario local con el mismo nombre que el usuario del Dominio?

Respecto a los eventos, que comentaba antes, no necesariamente pueden ser errores, también advertencias

Si con esto no solucionamos, te tocará a tí investigar más de dónde viene el problema, o si algún compañero tiene alguna idea nueva y pueda responder

Guillermo Delprato
Buenos Aires, Argentina
El Blog de los paso a paso
MVP - MCSE - MCSA2012
MCITP: Enterprise Administrator / Server Administrator
MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

jueves, 23 de junio de 2016 22:05

Responder

|

Citar

Moderador
0

Inicie sesión para votar

Guillermo, revisando mas a fondo los resultados del gpresult /R me encontré con que las directivas de grupo se estaban aplicando desde el directorio activo secundario.

Te contextualizo nuestra configuracion tenemos dos maquinas virtuales que funcionan como directorio activo primario y directorio activo secundario respectivamente, lo que se realice en el directorio principal se replica en el secundario. Ingresé al directorio activo secundario y los permisos y configuraciones sobre las GPO estan igual que en el directorio primario.

Me puedes indicar donde configuro para que las politicas se apliquen desde el DA primario, para ver si ese es el error. gracias

CONFIGURACIÓN DE USUARIO

-------------------------

    CN=Mayer Maryeth Monsalve Sepulveda,OU=Centro de Datos,OU=Sistemas,OU=Gerenc

ia Administrativa y Financiera,DC= xxxxxxx,DC=xxx

    Última vez que se aplicó la Directiva de grupo: 24/06/2016 a las 10:33:11 a.

m.

    Directivas de grupo aplicadas desdeCUCWADS02.xxxxxxx.xxx

    Umbral del vínculo de baja velocidad de las Directivas de grupo:500 kbps

    Nombre de dominio:                   CCCUCUTA

    Tipo de dominio:                     Windows 2000

    Objetos de directiva de grupo aplicados

    ----------------------------------------

        DELL - Pausas Activas v2

        DELL - Workflow v2

        DELL - WSUS

        DELL - Papel Tapiz v2

        DELL - Pausas Activas v2

        Carpeta gerencias

        Default Domain Policy

        ADMT-DisableWinFirewall

        DNSSuffixListPolicy

    Los objetos GPO siguientes no se aplicaron porque fueron filtrados

    -------------------------------------------------------------------

        Directiva de grupo local

            Filtrar: No aplicado (vacío)

viernes, 24 de junio de 2016 16:09

Responder

|

Citar
0

Inicie sesión para votar

Por otro lado Guillermo, observé que si inicio sesión con cualquier usuario en los maquinas que sirven como controlador de dominio, si aplican las politicas a los usuarios.

Las maquinas que sirven como controlador de dominio estan en otra OU independiente

viernes, 24 de junio de 2016 16:51

Responder

|

Citar
1

Inicie sesión para votar

Respondo los dos últimos conjuntamente

No existe "directivo activo primario" o "directorio activo secundario", en todo puedes referirte a "Controladores de Dominio", pero eso tampoco es cierto, porque todos los Controladores de Dominio pueden autenticar a los usuarios, y la GPO la aplicará desde el Controlador de Dominio que ha autenticado al usuario

No hay forma de hacer que tome autenticación y GPOs desde un Controlador de Dominio determinado, teniendo todo en una misma red

Todos los Controladores de Dominio cumplen las mismas funciones en cuanto autenticación y autorización, no hay diferencias, ni existen "primarios" ni "secundarios"

Los Controladores de Dominio, no deben ser movidos de la Unidad Organizativa por omisión

Por otro lado, el "path" de DN es demasiado largo, alcanzo a contar 125 caracteres, y como está oculto el nombre no llego a contar el total. Eso puede traer problemas

Por último hace unos mensajes escribes que "no se aplica ninguna GPO", y ahora resulta que sí se aplican. Comienzo a desconfiar de tu información para resolver el problema

Copio textual de tu mensaje:

----
Cuando ejecuto gpresult /r, no me la muestra ni en las GPO aplicadas ni en las GPO que no se pudieron aplicar, es decir la GPO no aparece por ningun lado.
----

Dejo el hilo, para que otro compañero pueda ayudarte

Guillermo Delprato
Buenos Aires, Argentina
El Blog de los paso a paso
MVP - MCSE - MCSA2012
MCITP: Enterprise Administrator / Server Administrator
MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

viernes, 24 de junio de 2016 19:04

Responder

|

Citar

Moderador
0

Inicie sesión para votar

Tal como te dije las GPO no se aplican a nivel de OU usuarios, eso no ha cambiado, realicé una prueba iniciando sesión con cualquier usuario en los controladores de dominio, ejecuté el GPRESULT /R y allí si aplican, lo ultimo que puedo observar es que no se aplican y el GPRESULT /R no me los muestra es cuando inicio sesión en otro equipo que no sea el controlador de dominio.

viernes, 24 de junio de 2016 19:25

Responder

|

Citar

Productos

Resources

Solutions

Actualizaciones

Pruebas

Sitios relacionados

Aprendizaje

Certificaciones

Otros recursos

Por producto

Otros vínculos

¿No es experto en TI?

Usuario

GPO no se aplican a los usuarios

Pregunta

Todas las respuestas