none
GPO no se aplican a los usuarios RRS feed

  • Pregunta

  • Buenas tardes

    En la empresa donde trabajo tenemos configurado el active directory en windows server 2012, allí hemos creado unas GPO las cuales deben aplicarse para diferentes OU.

    tenemos OU separadas por departamentos de acuerdo a cada oficina de la empresa y una OU para los equipos(aqui se encuentran asociados los service tag de cada uno de los pc).

    Sucede que cuando creamos las GPO y las asociamos a OU de usuarios, esas GPO no se aplican, la unica forma para que funcionen es asociandolas a la OU de equipos.

    Pero lo correcto es que las politicas se aplican unicamente asociandolas a los usuarios y no a los equipos. Así funcionaba cuando teniamos el active directory en Windows server 2008 R2.

    martes, 21 de junio de 2016 20:57

Todas las respuestas

  • Hola Maye Monsalve, las GPOs tienen dos ramas: "Computer Configuration", y "User Configuration". Por supuesto, cada una de ellas tiene las configuraciones que se aplican por máquina, y por usuario, respectivamente

    Si la GPO tiene configuraciones en la parte de máquina, entonces debe estar vinculada a la OU donde están las cuentas de máquina. Y análogamente si tiene configuraciones de usuario debe aplicarse a la OU donde están las cuentas de usuario

    Si tanto usuarios como máquinas "cuelgan" desde una determinada OU, entonces sí, puedes aplicar la GPO que tenga ambas configuraciones a esta OU

    Por si te sirve de ayuda, dejo un enlace que explica el funcionamiento básico: Cómo Funcionan las Directivas de Grupo (GPOs) | WindowServer:
    https://windowserver.wordpress.com/2011/02/10/como-funcionan-las-directivas-de-grupo-gpos/ 


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    martes, 21 de junio de 2016 22:13
    Moderador
  • Buenas tardes, Guillermo, muchas gracias por tu respuesta.

    las GPO tienen solo configuración en la parte de usuario, pero aun así no funcionan para las OU usuarios, si la vinculo a la OU de equipos ahí si funciona.

    Te muestro la configuración, en este caso es para activar el proxy en el inicio de sesión del usuario

    martes, 21 de junio de 2016 22:25
  • ¿Puedes poner cuáles son las configuraciones? el "path" a cada una por favor. Porque la configuración de proxy es una de las problemáticas porque depende de la versión del IE se hace de una forma o de otra. Si buscas en el foro verás el tema

    La que veo por omisión de IE está justamente en "Computer Configuration / Policies / Administrative Templates / Windows Components / Internet Explorer"

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    miércoles, 22 de junio de 2016 11:24
    Moderador
  • Buenos días, Guillermo

    Esta es la configuración del path para el proxy:

    Configuración del usuario (habilitada)
    Preferencias
    Configuración de Windows
    Registro
    AutoConfigURL (orden: 1)
    General
    Acción Crear

    Propiedades

    Subárbol HKEY_CURRENT_USER
    Ruta de la clave Software\Microsoft\Windows\CurrentVersion\Internet Settings
    Nombre de valor AutoConfigURL
    Tipo de valor REG_SZ
    Información del valor


    : http://aqui_va_la_dirección_de_nuestro_proxy/proxy.pac

    Adicionalmente te cuento que tengo una GPO para restringir el acceso al panel de control y está configurada tal y como se muestra en varios foros de internet, pero al igual que la anterior no funciona en las OU de usuarios, es mas incluí a un usuario en la OU de equipos para ver si algo anda mal con la OU de usuarios, pero no funcionó, mis GPO se estan aplicando solo para los equipos, y cuando tenía el active directory en Windows 2008 esto no me sucedía. 

    Agradezco tu ayuda

    miércoles, 22 de junio de 2016 13:33
  • Para poner el proxy utiliza lo que indica este enlace que creo que es diferente clave la que utilizas

    Windows Server Directory Services: Configurar GPO de usuario para proxy:
    http://ignaba.blogspot.com.ar/2015/11/configurar-gpo-de-usuario-para-proxy.html 

    Por otro lado ¿qué sistema operativo tienen los clientes? porque las preferencias las pueden procesar únicamente los sistemas "más nuevos" :)

    En el siguiente enlace revisa la parte "System Requirements and installation steps"

    Group Policy Preferences Getting Started Guide
    https://technet.microsoft.com/en-us/library/cc731892(v=ws.10).aspx 

    Y por último, para estar seguros seguros :) ¿Se está vinculando a la OU donde están las cuentas? No donde están los grupos de usuarios ¿si? por las dudas ...

    Y además en el cliente, desde un CMD ejecuta GPRESULT /R para comprobar que la GPO se está efectivamente aplicando

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    • Propuesto como respuesta Moderador M miércoles, 22 de junio de 2016 15:23
    • Votado como útil Moderador M jueves, 21 de julio de 2016 14:46
    miércoles, 22 de junio de 2016 15:18
    Moderador
  • Hola, Guillermo, realicé el cambio que me indicaste pero aun así sigue sin aplicarse la GPO.

    Cuando ejecuto gpresult /r,  no me la muestra  ni en las GPO aplicadas ni en las GPO que no se pudieron aplicar, es decir la GPO no aparece por ningun lado.

    La GPO la vinculo a la OU donde estan las cuentas de los usuarios. 

    miércoles, 22 de junio de 2016 16:14
  • Hola Maye Monsalve, si el GPRESULT /R no muestra las GPOs aplicadas, entonces esa es la base del problema

    Ejecutado como administrador debe mostrar tanto las de máquina como las de usuario. Y si se ejecuta con un usuario normal debe mostrar sólo las GPOs que aplican al usuario

    ¿Muestra la "Default Domain Policy?

    Cuando te refieres a la OU Usuarios, entiendo que no es el contenedor por omisión "Users" porque en éste no se pueden enlazar GPOs

    Pienso que el problema puede venir por otro lado. Veamos primero si realmente están en contacto con el Dominio. Crea en el Dominio un usuario nuevo, y trata de iniciar sesión con el mismo en una de las máquinas que tengan el problema

    Si da error es importante que lo pongas acá textualmente

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    miércoles, 22 de junio de 2016 17:26
    Moderador
  • Guillermo, si suponemos que los equipos (o al menos varios de ellos, sin distinción de clientes o servidores) están al día con las últimas actualizaciones de seguridad, ¿el problema podría tener relación con un cambio introducido en las actualizaciones del boletín MS16-072? Parece importante tenerlo en cuenta para futuras investigaciones de problemas relacionados con las GPO.

    MS16-072: Security update for Group Policy: June 14, 2016 (véanse los problemas conocidos)
    Deploying Group Policy Security Update MS16-072 \ KB3163622
    New Group Policy Patch MS16-072– “Breaks” GP Processing Behavior
    MS16-072 – Known Issue – Use PowerShell to Check GPOs
    Script to report on and remediate the Group Policy security change in MS16-072
    Never a dull moment with Group Policy (or what to do about MS16-072)

    miércoles, 22 de junio de 2016 17:57
  • Guillermo, la Default Domain Policy, si la muestra en el gpresult /r.

    Este problema me sucede en todos los equipos del dominio y con todos los usuarios.

    La OU de usuarios no es el contenedor Users.

    Probé creando un usuario nuevo e incluyendolo en una OU nueva pero sigue sin funcionar, los usuarios inician sesión sin problema en los equipos.

    Pero no logro que las GPO apliquen a las OU de usuarios, solo se aplican si las vinculo a la OU de equipos. 

    miércoles, 22 de junio de 2016 18:30
  • ¡Gracias Ramón! no se me había ocurrido, he sufrido una disasociación mental :) porque he respondido en el hilo que trata el tema https://social.technet.microsoft.com/Forums/es-ES/b314f842-f2f6-47b0-830c-d2a0286d48b1/polticas-vinculadas-gpo-dejaron-de-funcionar-tras-actualizar-kb3159398?forum=wsgpes

    Ya le respondo a Maye. Gracias nuevamente ¿por qué no lo haz hecho? :)

     

     

    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    miércoles, 22 de junio de 2016 18:46
    Moderador
  • Hola Maye, revisa los enlaces que puso Ramón Sola, que me parece que por ahí viene el problema

    También se ha tratado el tema en https://social.technet.microsoft.com/Forums/es-ES/b314f842-f2f6-47b0-830c-d2a0286d48b1/polticas-vinculadas-gpo-dejaron-de-funcionar-tras-actualizar-kb3159398?forum=wsgpes

    A ver si el problema viene por la actualización

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    miércoles, 22 de junio de 2016 18:47
    Moderador
  • Hola, Guillermo, he revisado los permisos en la GPO y todo está aparentemente normal. De igual forma desinstalé la actualización y reinicié el Active Directory, pero aún así el problema continúa.


    miércoles, 22 de junio de 2016 20:32
  • Hagamos una prueba, crea una Unidad Organizativa. Dentro de esta crea un usuario de prueba que sea nuevo, nunca usado anteriormente

    Aplicale a la OU una GPO que sea fácil de verificar, por ejemplo que le prohiba ingresar al Panel de Control

    Prueba desde la máquina cliente con este usuario para ver si aplica la GPO

    ¿Qué sistema operativo tienen los clientes?

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    miércoles, 22 de junio de 2016 22:31
    Moderador
  • Realicé la prueba que me indicaste creé una nueva OU llamada Unidad prueba y dentro de ella creé el usuario u_test. Creé la politica para restringir el acceso al panel de control, inicié sesión en 3 máquinas diferentes y al ejecutar GPRESULT /R continua sin aparecer la GPO. 

    Los sistemas operativos de las máquinas clientes son Windows 7, Windows 8.1 y Windows 10

    jueves, 23 de junio de 2016 13:42
  • Entonces, acotando el problema, no es que no aplica esa GPO que necesitas, sino que no aplica ninguna GPO

    Si dices que haz revisado los permisos de la GPO, y específicamente el tema a verificar es que el grupo "Authenticated Users" tenga permisos permitidos de "Read" y "Apply Group Policy", entonces toca que investigues

    ¿Hay más de un Controlador de Dominio?

    Revisa en los visores de eventos de clientes y Controladores de Dominio, por errores relacionados

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    jueves, 23 de junio de 2016 15:14
    Moderador
  • Hola, Guillermo, sí los permisos del grupo "Authenticated Users" tienen los permisos que indicaste. Tenemos dos máquinas que funcionan como controladores de dominio el principal el cual se replica en el secundario. 

    Al revisar en los visores de eventos no hay ningun error. 

    jueves, 23 de junio de 2016 21:18
  • Es especificamente a los usuarios que no se aplica, porque probé agregando un equipo a una OU de usuarios y al equipo si le aplica. 
    jueves, 23 de junio de 2016 21:19
  • Ya se me acaban los conocimientos :)

    Por una casualidad ¿existe un usuario local con el mismo nombre que el usuario del Dominio?

    Respecto a los eventos, que comentaba antes, no necesariamente pueden ser errores, también advertencias

    Si con esto no solucionamos, te tocará a tí investigar más de dónde viene el problema, o si algún compañero tiene alguna idea nueva y pueda responder

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    jueves, 23 de junio de 2016 22:05
    Moderador
  • Guillermo,  revisando mas a fondo los resultados del gpresult /R me encontré con que las directivas de grupo se estaban aplicando desde el directorio activo secundario.

    Te contextualizo nuestra configuracion tenemos dos maquinas virtuales que funcionan como directorio activo primario y directorio activo secundario respectivamente, lo que se realice en el directorio principal se replica en el secundario. Ingresé al directorio activo secundario y los permisos y configuraciones sobre  las GPO estan igual que en el directorio primario. 

    Me puedes indicar donde configuro para que las politicas se apliquen desde el DA primario, para ver si ese es el error. gracias 

    CONFIGURACIÓN DE USUARIO

    -------------------------

        CN=Mayer Maryeth Monsalve Sepulveda,OU=Centro de Datos,OU=Sistemas,OU=Gerenc

    ia Administrativa y Financiera,DC= xxxxxxx,DC=xxx

        Última vez que se aplicó la Directiva de grupo: 24/06/2016 a las 10:33:11 a.

    m.

        Directivas de grupo aplicadas desdeCUCWADS02.xxxxxxx.xxx

        Umbral del vínculo de baja velocidad de las Directivas de grupo:500 kbps

        Nombre de dominio:                   CCCUCUTA

        Tipo de dominio:                     Windows 2000

        Objetos de directiva de grupo aplicados

        ----------------------------------------

            DELL - Pausas Activas v2

            DELL - Workflow v2

            DELL - WSUS

            DELL - Papel Tapiz v2

            DELL - Pausas Activas v2

            Carpeta gerencias

            Default Domain Policy

            ADMT-DisableWinFirewall

            DNSSuffixListPolicy

     

        Los objetos GPO siguientes no se aplicaron porque fueron filtrados

        -------------------------------------------------------------------

            Directiva de grupo local

                Filtrar:  No aplicado (vacío)

    viernes, 24 de junio de 2016 16:09
  • Por otro lado Guillermo, observé que si inicio sesión con cualquier usuario en los maquinas que sirven como controlador de dominio, si aplican las politicas a los usuarios. 

    Las maquinas que sirven como controlador de dominio estan en otra OU independiente

    viernes, 24 de junio de 2016 16:51
  • Respondo los dos últimos conjuntamente

    No existe "directivo activo primario" o "directorio activo secundario", en todo puedes referirte a "Controladores de Dominio", pero eso tampoco es cierto, porque todos los Controladores de Dominio pueden autenticar a los usuarios, y la GPO la aplicará desde el Controlador de Dominio que ha autenticado al usuario

    No hay forma de hacer que tome autenticación y GPOs desde un Controlador de Dominio determinado, teniendo todo en una misma red

    Todos los Controladores de Dominio cumplen las mismas funciones en cuanto autenticación y autorización, no hay diferencias, ni existen "primarios" ni "secundarios"

    Los Controladores de Dominio, no deben ser movidos de la Unidad Organizativa por omisión

    Por otro lado, el "path" de DN es demasiado largo, alcanzo a contar 125 caracteres, y como está oculto el nombre no llego a contar el total. Eso puede traer problemas

    Por último hace unos mensajes escribes que "no se aplica ninguna GPO", y ahora resulta que sí se aplican. Comienzo a desconfiar de tu información para resolver el problema

    Copio textual de tu mensaje:

    ----
    Cuando ejecuto gpresult /r,  no me la muestra  ni en las GPO aplicadas ni en las GPO que no se pudieron aplicar, es decir la GPO no aparece por ningun lado.
    ----

    Dejo el hilo, para que otro compañero pueda ayudarte


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    viernes, 24 de junio de 2016 19:04
    Moderador
  • Tal como te dije las GPO no se aplican a nivel de OU usuarios, eso no ha cambiado, realicé una prueba iniciando sesión con cualquier usuario en los controladores de dominio, ejecuté el GPRESULT /R y allí si aplican, lo ultimo que puedo observar es que no se aplican y el GPRESULT /R no me los muestra es cuando inicio sesión en otro equipo que no sea el controlador de dominio. 
    viernes, 24 de junio de 2016 19:25