Usuario
GPO no se aplican a los usuarios

Pregunta
-
Buenas tardes
En la empresa donde trabajo tenemos configurado el active directory en windows server 2012, allí hemos creado unas GPO las cuales deben aplicarse para diferentes OU.
tenemos OU separadas por departamentos de acuerdo a cada oficina de la empresa y una OU para los equipos(aqui se encuentran asociados los service tag de cada uno de los pc).
Sucede que cuando creamos las GPO y las asociamos a OU de usuarios, esas GPO no se aplican, la unica forma para que funcionen es asociandolas a la OU de equipos.
Pero lo correcto es que las politicas se aplican unicamente asociandolas a los usuarios y no a los equipos. Así funcionaba cuando teniamos el active directory en Windows server 2008 R2.
Todas las respuestas
-
Hola Maye Monsalve, las GPOs tienen dos ramas: "Computer Configuration", y "User Configuration". Por supuesto, cada una de ellas tiene las configuraciones que se aplican por máquina, y por usuario, respectivamente
Si la GPO tiene configuraciones en la parte de máquina, entonces debe estar vinculada a la OU donde están las cuentas de máquina. Y análogamente si tiene configuraciones de usuario debe aplicarse a la OU donde están las cuentas de usuario
Si tanto usuarios como máquinas "cuelgan" desde una determinada OU, entonces sí, puedes aplicar la GPO que tenga ambas configuraciones a esta OU
Por si te sirve de ayuda, dejo un enlace que explica el funcionamiento básico: Cómo Funcionan las Directivas de Grupo (GPOs) | WindowServer:
https://windowserver.wordpress.com/2011/02/10/como-funcionan-las-directivas-de-grupo-gpos/Guillermo Delprato
MVP - MCSE - MCSA2012
Buenos Aires, Argentina
El Blog de los paso a paso
MCITP: Enterprise Administrator / Server Administrator
MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration
Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.
-
Buenas tardes, Guillermo, muchas gracias por tu respuesta.
las GPO tienen solo configuración en la parte de usuario, pero aun así no funcionan para las OU usuarios, si la vinculo a la OU de equipos ahí si funciona.
Te muestro la configuración, en este caso es para activar el proxy en el inicio de sesión del usuario
-
¿Puedes poner cuáles son las configuraciones? el "path" a cada una por favor. Porque la configuración de proxy es una de las problemáticas porque depende de la versión del IE se hace de una forma o de otra. Si buscas en el foro verás el tema
La que veo por omisión de IE está justamente en "Computer Configuration / Policies / Administrative Templates / Windows Components / Internet Explorer"
Guillermo Delprato
MVP - MCSE - MCSA2012
Buenos Aires, Argentina
El Blog de los paso a paso
MCITP: Enterprise Administrator / Server Administrator
MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration
Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.
-
Buenos días, Guillermo
Esta es la configuración del path para el proxy:
Configuración del usuario (habilitada)PreferenciasConfiguración de WindowsRegistroAutoConfigURL (orden: 1)GeneralAcción Crear Propiedades
Subárbol HKEY_CURRENT_USER Ruta de la clave Software\Microsoft\Windows\CurrentVersion\Internet Settings Nombre de valor AutoConfigURL Tipo de valor REG_SZ Información del valor
: http://aqui_va_la_dirección_de_nuestro_proxy/proxy.pac
Adicionalmente te cuento que tengo una GPO para restringir el acceso al panel de control y está configurada tal y como se muestra en varios foros de internet, pero al igual que la anterior no funciona en las OU de usuarios, es mas incluí a un usuario en la OU de equipos para ver si algo anda mal con la OU de usuarios, pero no funcionó, mis GPO se estan aplicando solo para los equipos, y cuando tenía el active directory en Windows 2008 esto no me sucedía.
Agradezco tu ayuda
-
Para poner el proxy utiliza lo que indica este enlace que creo que es diferente clave la que utilizas
Windows Server Directory Services: Configurar GPO de usuario para proxy:
http://ignaba.blogspot.com.ar/2015/11/configurar-gpo-de-usuario-para-proxy.htmlPor otro lado ¿qué sistema operativo tienen los clientes? porque las preferencias las pueden procesar únicamente los sistemas "más nuevos" :)
En el siguiente enlace revisa la parte "System Requirements and installation steps"
Group Policy Preferences Getting Started Guide
https://technet.microsoft.com/en-us/library/cc731892(v=ws.10).aspxY por último, para estar seguros seguros :) ¿Se está vinculando a la OU donde están las cuentas? No donde están los grupos de usuarios ¿si? por las dudas ...
Y además en el cliente, desde un CMD ejecuta GPRESULT /R para comprobar que la GPO se está efectivamente aplicando
Guillermo Delprato
MVP - MCSE - MCSA2012
Buenos Aires, Argentina
El Blog de los paso a paso
MCITP: Enterprise Administrator / Server Administrator
MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration
Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.
- Propuesto como respuesta Moderador M miércoles, 22 de junio de 2016 15:23
- Votado como útil Moderador M jueves, 21 de julio de 2016 14:46
-
Hola, Guillermo, realicé el cambio que me indicaste pero aun así sigue sin aplicarse la GPO.
Cuando ejecuto gpresult /r, no me la muestra ni en las GPO aplicadas ni en las GPO que no se pudieron aplicar, es decir la GPO no aparece por ningun lado.
La GPO la vinculo a la OU donde estan las cuentas de los usuarios.
-
Hola Maye Monsalve, si el GPRESULT /R no muestra las GPOs aplicadas, entonces esa es la base del problema
Ejecutado como administrador debe mostrar tanto las de máquina como las de usuario. Y si se ejecuta con un usuario normal debe mostrar sólo las GPOs que aplican al usuario
¿Muestra la "Default Domain Policy?
Cuando te refieres a la OU Usuarios, entiendo que no es el contenedor por omisión "Users" porque en éste no se pueden enlazar GPOs
Pienso que el problema puede venir por otro lado. Veamos primero si realmente están en contacto con el Dominio. Crea en el Dominio un usuario nuevo, y trata de iniciar sesión con el mismo en una de las máquinas que tengan el problema
Si da error es importante que lo pongas acá textualmente
Guillermo Delprato
MVP - MCSE - MCSA2012
Buenos Aires, Argentina
El Blog de los paso a paso
MCITP: Enterprise Administrator / Server Administrator
MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration
Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.
-
Guillermo, si suponemos que los equipos (o al menos varios de ellos, sin distinción de clientes o servidores) están al día con las últimas actualizaciones de seguridad, ¿el problema podría tener relación con un cambio introducido en las actualizaciones del boletín MS16-072? Parece importante tenerlo en cuenta para futuras investigaciones de problemas relacionados con las GPO.
MS16-072: Security update for Group Policy: June 14, 2016 (véanse los problemas conocidos)
Deploying Group Policy Security Update MS16-072 \ KB3163622
New Group Policy Patch MS16-072– “Breaks” GP Processing Behavior
MS16-072 – Known Issue – Use PowerShell to Check GPOs
Script to report on and remediate the Group Policy security change in MS16-072
Never a dull moment with Group Policy (or what to do about MS16-072) -
Guillermo, la Default Domain Policy, si la muestra en el gpresult /r.
Este problema me sucede en todos los equipos del dominio y con todos los usuarios.
La OU de usuarios no es el contenedor Users.
Probé creando un usuario nuevo e incluyendolo en una OU nueva pero sigue sin funcionar, los usuarios inician sesión sin problema en los equipos.
Pero no logro que las GPO apliquen a las OU de usuarios, solo se aplican si las vinculo a la OU de equipos.
-
¡Gracias Ramón! no se me había ocurrido, he sufrido una disasociación mental :) porque he respondido en el hilo que trata el tema https://social.technet.microsoft.com/Forums/es-ES/b314f842-f2f6-47b0-830c-d2a0286d48b1/polticas-vinculadas-gpo-dejaron-de-funcionar-tras-actualizar-kb3159398?forum=wsgpes
Ya le respondo a Maye. Gracias nuevamente ¿por qué no lo haz hecho? :)
Guillermo Delprato
MVP - MCSE - MCSA2012
Buenos Aires, Argentina
El Blog de los paso a paso
MCITP: Enterprise Administrator / Server Administrator
MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration
Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.
-
Hola Maye, revisa los enlaces que puso Ramón Sola, que me parece que por ahí viene el problema
También se ha tratado el tema en https://social.technet.microsoft.com/Forums/es-ES/b314f842-f2f6-47b0-830c-d2a0286d48b1/polticas-vinculadas-gpo-dejaron-de-funcionar-tras-actualizar-kb3159398?forum=wsgpes
A ver si el problema viene por la actualización
Guillermo Delprato
MVP - MCSE - MCSA2012
Buenos Aires, Argentina
El Blog de los paso a paso
MCITP: Enterprise Administrator / Server Administrator
MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration
Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.
-
-
Hagamos una prueba, crea una Unidad Organizativa. Dentro de esta crea un usuario de prueba que sea nuevo, nunca usado anteriormente
Aplicale a la OU una GPO que sea fácil de verificar, por ejemplo que le prohiba ingresar al Panel de Control
Prueba desde la máquina cliente con este usuario para ver si aplica la GPO
¿Qué sistema operativo tienen los clientes?
Guillermo Delprato
MVP - MCSE - MCSA2012
Buenos Aires, Argentina
El Blog de los paso a paso
MCITP: Enterprise Administrator / Server Administrator
MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration
Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.
-
Realicé la prueba que me indicaste creé una nueva OU llamada Unidad prueba y dentro de ella creé el usuario u_test. Creé la politica para restringir el acceso al panel de control, inicié sesión en 3 máquinas diferentes y al ejecutar GPRESULT /R continua sin aparecer la GPO.
Los sistemas operativos de las máquinas clientes son Windows 7, Windows 8.1 y Windows 10
-
Entonces, acotando el problema, no es que no aplica esa GPO que necesitas, sino que no aplica ninguna GPO
Si dices que haz revisado los permisos de la GPO, y específicamente el tema a verificar es que el grupo "Authenticated Users" tenga permisos permitidos de "Read" y "Apply Group Policy", entonces toca que investigues
¿Hay más de un Controlador de Dominio?
Revisa en los visores de eventos de clientes y Controladores de Dominio, por errores relacionados
Guillermo Delprato
MVP - MCSE - MCSA2012
Buenos Aires, Argentina
El Blog de los paso a paso
MCITP: Enterprise Administrator / Server Administrator
MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration
Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.
-
Hola, Guillermo, sí los permisos del grupo "Authenticated Users" tienen los permisos que indicaste. Tenemos dos máquinas que funcionan como controladores de dominio el principal el cual se replica en el secundario.
Al revisar en los visores de eventos no hay ningun error.
-
-
Ya se me acaban los conocimientos :)
Por una casualidad ¿existe un usuario local con el mismo nombre que el usuario del Dominio?
Respecto a los eventos, que comentaba antes, no necesariamente pueden ser errores, también advertencias
Si con esto no solucionamos, te tocará a tí investigar más de dónde viene el problema, o si algún compañero tiene alguna idea nueva y pueda responder
Guillermo Delprato
MVP - MCSE - MCSA2012
Buenos Aires, Argentina
El Blog de los paso a paso
MCITP: Enterprise Administrator / Server Administrator
MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration
Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.
-
Guillermo, revisando mas a fondo los resultados del gpresult /R me encontré con que las directivas de grupo se estaban aplicando desde el directorio activo secundario.
Te contextualizo nuestra configuracion tenemos dos maquinas virtuales que funcionan como directorio activo primario y directorio activo secundario respectivamente, lo que se realice en el directorio principal se replica en el secundario. Ingresé al directorio activo secundario y los permisos y configuraciones sobre las GPO estan igual que en el directorio primario.
Me puedes indicar donde configuro para que las politicas se apliquen desde el DA primario, para ver si ese es el error. gracias
CONFIGURACIÓN DE USUARIO
-------------------------
CN=Mayer Maryeth Monsalve Sepulveda,OU=Centro de Datos,OU=Sistemas,OU=Gerenc
ia Administrativa y Financiera,DC= xxxxxxx,DC=xxx
Última vez que se aplicó la Directiva de grupo: 24/06/2016 a las 10:33:11 a.
m.
Directivas de grupo aplicadas desdeCUCWADS02.xxxxxxx.xxx
Umbral del vínculo de baja velocidad de las Directivas de grupo:500 kbps
Nombre de dominio: CCCUCUTA
Tipo de dominio: Windows 2000
Objetos de directiva de grupo aplicados
----------------------------------------
DELL - Pausas Activas v2
DELL - Workflow v2
DELL - WSUS
DELL - Papel Tapiz v2
DELL - Pausas Activas v2
Carpeta gerencias
Default Domain Policy
ADMT-DisableWinFirewall
DNSSuffixListPolicy
Los objetos GPO siguientes no se aplicaron porque fueron filtrados
-------------------------------------------------------------------
Directiva de grupo local
Filtrar: No aplicado (vacío)
-
Por otro lado Guillermo, observé que si inicio sesión con cualquier usuario en los maquinas que sirven como controlador de dominio, si aplican las politicas a los usuarios.
Las maquinas que sirven como controlador de dominio estan en otra OU independiente
-
Respondo los dos últimos conjuntamente
No existe "directivo activo primario" o "directorio activo secundario", en todo puedes referirte a "Controladores de Dominio", pero eso tampoco es cierto, porque todos los Controladores de Dominio pueden autenticar a los usuarios, y la GPO la aplicará desde el Controlador de Dominio que ha autenticado al usuario
No hay forma de hacer que tome autenticación y GPOs desde un Controlador de Dominio determinado, teniendo todo en una misma red
Todos los Controladores de Dominio cumplen las mismas funciones en cuanto autenticación y autorización, no hay diferencias, ni existen "primarios" ni "secundarios"
Los Controladores de Dominio, no deben ser movidos de la Unidad Organizativa por omisión
Por otro lado, el "path" de DN es demasiado largo, alcanzo a contar 125 caracteres, y como está oculto el nombre no llego a contar el total. Eso puede traer problemas
Por último hace unos mensajes escribes que "no se aplica ninguna GPO", y ahora resulta que sí se aplican. Comienzo a desconfiar de tu información para resolver el problema
Copio textual de tu mensaje:
----
Cuando ejecuto gpresult /r, no me la muestra ni en las GPO aplicadas ni en las GPO que no se pudieron aplicar, es decir la GPO no aparece por ningun lado.
----Dejo el hilo, para que otro compañero pueda ayudarte
Guillermo Delprato
MVP - MCSE - MCSA2012
Buenos Aires, Argentina
El Blog de los paso a paso
MCITP: Enterprise Administrator / Server Administrator
MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration
Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.
-
Tal como te dije las GPO no se aplican a nivel de OU usuarios, eso no ha cambiado, realicé una prueba iniciando sesión con cualquier usuario en los controladores de dominio, ejecuté el GPRESULT /R y allí si aplican, lo ultimo que puedo observar es que no se aplican y el GPRESULT /R no me los muestra es cuando inicio sesión en otro equipo que no sea el controlador de dominio.