none
GPO segun si dominio o terminal server. RRS feed

  • Pregunta

  • Buenos dias, ando liado con este tema y no lo tengo claro, os lo explico:

    Tengo usuarios que en condiciones normales se loguean en condiciones normales en una maquina local con AD 2003 server. El caso es que estos usuarios algunos dias se desplazan fuera y se conectan mediante terminal server a nuestra oficina.

    Tengo 2 servidores, uno de archivos y ad y otro que se encarga de TS.

    Cuando se conectan en local, pueden apagar la maquina ven c: (algunos) etc. y cuando se conectan por Terminal server nos ocurre lo mismo.

    He pensado en poner politicas en el objeto del servidor de TS, pero me afecta a TODOS los usuarios incluidos los administradores. Hay alguna forma de diferenciar que aplique unas politicas u otras si se conectar por TS o no?. Es posible aplicar politicas de equipo que no afecten a ciertos usuarios?

    Agradecido por adelantado.

    Gracias

     

    viernes, 25 de junio de 2010 10:30

Respuestas

  • Por poner el ejemplo claro:

    Tenemos una OU que se llama "Departemento Friki" , y ahí a "user1" y el equipo "computer1" (lo sé, soy original :-P )-->GPO que aplica una serie de configuraciones

    Tenemos una OU que se llama "Terminal Server", y ahí las cuentas de equipo de los servidores para Remote Desktop Services-->GPO con el loopback en modo de reemplazo y una serie de configuraciones que no tienen que ver con la GPO del "Departamento Friki", de esta forma el usuario tiene una configuración en su equipo, y otra totalmente difrente si es una sesión de TS

    Si un usuario hace logon en su equipo, se le aplica la GPO de "Departamento Friki", y si lo hace en la de los TS, la GPO de los TS.

    Si queremos que a un admionistrasor de dominio no se le aplique la GPO de los TS, tendremos que hacer el filtering scope y marcar que no se le aplique la GPO, de esa forma los domain admins no tienen restricciones en los TS al hacer login en ellos (por ejemplo, no nos interesa que un administrador tenga capadas por ejemplo ciertas opciones del IE pero los usaurios evidentemente sí).

    Lo malo es que si se establece en la GPO de TS restricciones en el apartado de configuración d máquina, entonces da igual quien se loguee, ya que es a nivel de máquina y por tanto para todo dios, independiente del user.

    no sé si me he llegado a explicar :-P

     


    -------- Salu2!! Javier Inglés https://mvp.support.microsoft.com/profile=540CC20A-D91F-4E7B-A209-2CB5567431B0 MS MVP, Windows Server-Directory Services. Microsoft Active Professional 2010
    • Marcado como respuesta Javier_Inglés jueves, 8 de julio de 2010 6:08
    miércoles, 7 de julio de 2010 11:35

Todas las respuestas

  • Aplica la GPO a los equipos de TS pero activando en "Loop back processing" en modo Replace. De este modo, cuando los usuarios accedan al dominio se le aplicarán sus GPOs y cuando accedan por TS, sólo aplicarán las GPOs de esos TS

    Using Loopback Processing to Configure User Settings

    http://technet.microsoft.com/en-us/library/cc757470(WS.10).aspx

    Loopback processing of Group Policy

    http://support.microsoft.com/kb/231287/en-us


    Saludos,

    Marc
    MCSA/MCSE 2003
    MCITP: Enterprise Administrator
    MCITP: Enterprise Messaging Administrator
    viernes, 25 de junio de 2010 10:46
    Moderador
  • gracias,habia leido algo por ahi.. estaba dandole forma. Muchas gracias de verdad.

    Salu2

    viernes, 25 de junio de 2010 11:23
  • El caso es que sigo con el asunto. Y no consigo que me aplique la gpo de equipo nada mas que cuando afecte a usuarios autentificados.

    No quiero que afecte al grupo admin asi que indiqué  que la gpo se aplicara a G_departamento1, G_departamento2.

    He mirado los permisos y son de lectura y aplicacion, pero cuando hago esto no aplica la gpo, solo si añado usuarios autentificados funciona.

    Sera el calor que afecta? A mis castigadas neuronas digo :)

    Saludos y gracias

     

    lunes, 5 de julio de 2010 16:29
  • Hazlo al revés, aplica a todos los usuarios y deniega la ejecución de la GPO al grupo/s que no necesites.
    Saludos,

    Marc
    MCSA/MCSE 2003
    MCITP: Enterprise Administrator
    MCITP: Enterprise Messaging Administrator
    martes, 6 de julio de 2010 9:50
    Moderador
  • hola. gracias por tu respuesta. me estoy volviendo loco. a los unicos que no quiero que se apliquen es a los administradores, pero nada no lo consigo. Me aplica la gpo. Y no se donde le esta indicando que le aplique a esos usuarios, en delegacion estan los grupos Administradores de organizacion y de dominio pero no tienen marcado aplicar directivas de grupo.

    En este pequeño AD que tengo los administradores son miembros de:

    • Administradores.
    • Administradores de esquema
    • Administradores de Organizacion
    • Administradores de dominio
    • Propietario creador  de directiva de grupo
    • usuario de escritorio remoto
    • usuario de dominio

    La UO que contiene el objeto de equipo del servidor de terminal server sobre la que esta vinculada la gpo delega sobre:

    • Administradores
    • Administradores de organizacion
    • Administradores de dominio
    • SYSTEM

    La GPO como tal delega:

    • Administradores de Organizacion
    • Administradores de dominio
    • Enterprise Domain Controllers
    • SYSTEM
    • Usuarios Autentificados.

    Y haciendo una simulacion de resultados me encuentro con esto que me deja algo OjiplaticO :)


    Security Group Membership when Group Policy was applied
    BUILTIN\Administradores
    Todos
    S-1-5-21-300003299-1255276471-2452038848-1004
    S-1-5-21-300003299-1255276471-2452038848-1005
    BUILTIN\Usuarios
    NT AUTHORITY\NETWORK
    NT AUTHORITY\Usuarios autentificados
    S-1-5-15
    dominio\TSSERVER$
    dominio\Equipos del dominio

    Desde ya. gracias
    martes, 6 de julio de 2010 10:21
  • Pone BUILTIN\Administradores no Administradores de dominio, con lo cual no lo está aplicando a estos.


    Saludos,

    Marc
    MCSA/MCSE 2003
    MCITP: Enterprise Administrator
    MCITP: Enterprise Messaging Administrator
    martes, 6 de julio de 2010 10:37
    Moderador
  • Pone BUILTIN\ Administradores no Administradores de dominio , con lo cual no lo está aplicando a estos.


    Saludos,

    Marc
    MCSA/MCSE 2003
    MCITP: Enterprise Administrator
    MCITP: Enterprise Messaging Administrator


    Hola de nuevo. No entiendo muy bien lo que quieres decir. Exactamente es eso.. no deberia aplicarse, sin embargo al en loguearme como administrador se me aplican todas las restricciones .. pero todas, no se le escapa ni una :P

     

    martes, 6 de julio de 2010 10:42
  • Si estás usando Loopback, es lógico que no se aplique si filtras por un grupo de usuarios en los que no estén las cuentas de equipo de los servidores TS, y sí se apliquen si agregas a los usuarios autentificados, ya que los equipos pertenecen a este grupo. Que deniegues la aplicación a los administradores no debe funcionar, pues son usuarios y por tanto no se les aplica esa GPO, sólo se aplica a los grupos.
    Un saludo

    Fernando Reyes [MS MVP]
    MCSA 2000/2003
    MCSE 2000/2003
    MCITP EnterpriseAdministrator
    Web: http://freyes.svetlian.com
    Blog: http://urpiano.wordpress.com
    RSS: http://urpiano.wordpress.com/feed/
    freyes.champú@champú.mvps.org
    (Aclárate la cabeza si quieres escribirme)
    martes, 6 de julio de 2010 10:56
    Moderador
  • Si estás usando Loopback, es lógico que no se aplique si filtras por un grupo de usuarios en los que no estén las cuentas de equipo de los servidores TS, y sí se apliquen si agregas a los usuarios autentificados, ya que los equipos pertenecen a este grupo. Que deniegues la aplicación a los administradores no debe funcionar, pues son usuarios y por tanto no se les aplica esa GPO, sólo se aplica a los grupos.
    Un saludo

    Fernando Reyes [MS MVP]
    MCSA 2000/2003
    MCSE 2000/2003
    MCITP EnterpriseAdministrator
    Web: http://freyes.svetlian.com
    Blog: http://urpiano.wordpress.com
    RSS: http://urpiano.wordpress.com/feed/
    freyes.champú@champú.mvps.org
    (Aclárate la cabeza si quieres escribirme)


    Hola Fernando pues ahora si que me he quedado...

    Utilizo loopback si.

    Que hago para que se aplique a unos grupos especificos de usuarios y no a los administradores?

    En el momento que que elimino a los Usuarios Autentificados no se aplica la gpo. Y si los pongo no me aplica a todos los usuarios incluidos los administradores.

     

    martes, 6 de julio de 2010 11:10
  • Si no te he entendido mal, estás usando el método 2, de ahí tu problema. Deberías usar el 1, pero claro, es mucho menos restrictivo, pues se aplican las configuraciones de GPO que el usuario tiene en función de la ubicación de su cuenta. Cuando hablo de métodos 1 y 2 me refiero a este artículo:

    Cómo aplicar objetos de directiva de grupo a servidores de Servicios de Terminal Server
    http://support.microsoft.com/kb/260370


    Un saludo

    Fernando Reyes [MS MVP]
    MCSA 2000/2003
    MCSE 2000/2003
    MCITP EnterpriseAdministrator
    Web: http://freyes.svetlian.com
    Blog: http://urpiano.wordpress.com
    RSS: http://urpiano.wordpress.com/feed/
    freyes.champú@champú.mvps.org
    (Aclárate la cabeza si quieres escribirme)
    martes, 6 de julio de 2010 11:52
    Moderador
  • Gracias fernando. Pero entonces sigo teniendo el mismo problema. Si un usuario que se conecta desde Oficina central, luego se conecta por terminal server no se le aplican las restricciones de usuario, lo cual es un peligro.

    Y el metodo de loopback afecta a todos los usuarios incluidos los administradores lo cual, tambien es un peligro.

    Relee este articulo bajo el chorro de aire acondicionado, a ver si asi saco algo en claro porque de verdad que como diria el de eurovision "algo pequeñito" se me esta complicando demasiado. :P

     

    martes, 6 de julio de 2010 14:53
  • Me respondo a mi mismo, el metodo uno no cumple con lo que yo quiero. El usuario mantiene todos los permisos de su OU de permanencia.

    Me explico.

    Usuario Pepe  - UO: Marketing - Con Gpo Marketing que le permite ejecutar internet explorer.

    Si se conecta a las maquinas desde dentro, todo perfecto, puede ejecutar Internet explorer.

     

    Usuario Pepe, se loguea a la maquina con TS. por el metodo 1 le aplico que no pueda ejecutar IE, pero "na d na" sigue con los permisos de Marketing.

     

    Si aplico el bucle de directiva. Pepe no puede ejecutar IE, pero ni Pepe ni el Administrador. Tanto por terminal como directamente logueado.

    ARRRHHGG... alguna ayuda para ir hacia la luz?

     

    martes, 6 de julio de 2010 15:14
  • Para los TS, usa siempre el "método Loopback"; si quieres que esa GPO no se aplique a los administradores de dominio o u n grupo de usaurios por ejemplo, simplemente en la parte de delegación, lo editas y añades o modificas los permisos y marcas la opción de que NO se aplique la GPO, de esa forma los usuarios tienen la GPO vigente y los administradores no
    -------- Salu2!! Javier Inglés https://mvp.support.microsoft.com/profile=540CC20A-D91F-4E7B-A209-2CB5567431B0 MS MVP, Windows Server-Directory Services. Microsoft Active Professional 2010
    miércoles, 7 de julio de 2010 6:12
  • Hola Javier, la teoria esta clara. Pero en la practica.. no me funciona si ves mas arriba donde he puesto la informacion mas detallada, me sigue aplicando las gpos a los administradores.

    Debo quitar los usuarios autentificados? Si los quito vuelvo a empezar y no se aplican para el resto de usuarios a un indicando los grupos a los que pertenece en security filtering.

    Y con los wmi? me los recomendais?

     

    Saludos y gracias

     

    miércoles, 7 de julio de 2010 10:01
  • socio, tengo 4 granjas de TS y RDS y siempre ha funcionado :-P.

    No tienes que quitar a nadie, y menos a los usuarios autenticados por defecto.

    Revisa que estás aplicando bien la denegación de "apply group policy", el segundo enlace que te pongo es muy ilustrativo.

    Eso sí...ten en cuenta que si tú has establecido configuraciones por máquina en esa GPO, en ese caso, se aplica por ma´quina y por tanto a todo usuario que se loguee en ella (por ejemplo, las opciones deIE puedes hacerlo a nivel de máquina y de user; si lo haces a nivel de máquina, te da igual quien inicie sesión que se le aplica; si lo haces a nivel de usaurio, y tienes hecho el filtro en la GPO indicado, entonces no se apicará a quien no quieras)

     

    Filtering the Scope of a GPO

    http://msdn.microsoft.com/en-us/library/aa373513(VS.85).aspx

     

    How to Implement Group Policy Security Filtering

    http://www.windowsnetworking.com/articles_tutorials/Group-Policy-Security-Filtering.html

     


    -------- Salu2!! Javier Inglés https://mvp.support.microsoft.com/profile=540CC20A-D91F-4E7B-A209-2CB5567431B0 MS MVP, Windows Server-Directory Services. Microsoft Active Professional 2010
    miércoles, 7 de julio de 2010 10:33
  • Javier, no acabo de entenderlo ¿qué se me escapa?

    Si en una OU tienes las cuentas de equipo exclusivamente y le vinculas una GPO a esa OU, entiendo que por mucho que pongas un grupo de usuarios en el filtrado al que deniegas el aplicar la GPO, ese filtro será ignorado, pues a los únicos objetos a los que se aplica la GPO es a los equipos que están en la GPO. Entiendo por tanto, que si esa GPO tiene puesto el modo de procesamiento de bucle inverso de la directiva de grupo de usuario en modo reemplazar, a pesar de haber filtrado la GPO a un grupo de usuarios, cuando inicien sesión en ese equipo recibirán las configuraciones de usuario que establezca la GPO. Si el bucle inverso no estuviera acivado, las configuraciones de usuario serían ignoradas, no se aplicarían, al no afectar a objetos de usuario.


    Un saludo

    Fernando Reyes [MS MVP]
    MCSA 2000/2003
    MCSE 2000/2003
    MCITP EnterpriseAdministrator
    Web: http://freyes.svetlian.com
    Blog: http://urpiano.wordpress.com
    RSS: http://urpiano.wordpress.com/feed/
    freyes.champú@champú.mvps.org
    (Aclárate la cabeza si quieres escribirme)
    miércoles, 7 de julio de 2010 11:06
    Moderador
  • Por poner el ejemplo claro:

    Tenemos una OU que se llama "Departemento Friki" , y ahí a "user1" y el equipo "computer1" (lo sé, soy original :-P )-->GPO que aplica una serie de configuraciones

    Tenemos una OU que se llama "Terminal Server", y ahí las cuentas de equipo de los servidores para Remote Desktop Services-->GPO con el loopback en modo de reemplazo y una serie de configuraciones que no tienen que ver con la GPO del "Departamento Friki", de esta forma el usuario tiene una configuración en su equipo, y otra totalmente difrente si es una sesión de TS

    Si un usuario hace logon en su equipo, se le aplica la GPO de "Departamento Friki", y si lo hace en la de los TS, la GPO de los TS.

    Si queremos que a un admionistrasor de dominio no se le aplique la GPO de los TS, tendremos que hacer el filtering scope y marcar que no se le aplique la GPO, de esa forma los domain admins no tienen restricciones en los TS al hacer login en ellos (por ejemplo, no nos interesa que un administrador tenga capadas por ejemplo ciertas opciones del IE pero los usaurios evidentemente sí).

    Lo malo es que si se establece en la GPO de TS restricciones en el apartado de configuración d máquina, entonces da igual quien se loguee, ya que es a nivel de máquina y por tanto para todo dios, independiente del user.

    no sé si me he llegado a explicar :-P

     


    -------- Salu2!! Javier Inglés https://mvp.support.microsoft.com/profile=540CC20A-D91F-4E7B-A209-2CB5567431B0 MS MVP, Windows Server-Directory Services. Microsoft Active Professional 2010
    • Marcado como respuesta Javier_Inglés jueves, 8 de julio de 2010 6:08
    miércoles, 7 de julio de 2010 11:35
  • Fernando, lo que dice Javier es correcto, yo tengo montado 2 TS y para las restricciones de los usuarios TS uso el procesamiento de bucle inverso que se aplica a la OU donde se encuentra mi TS. En esa OU tambien he definido varias GPO de restriccion para los usuarios y se puede filtrar diciendole a quie grupos se quiere aplicar, y anda perfecto. Lo que el usuario que tiene el problema debe hacer es denegar que se aplique la politica.

    Saludos.


    Emanuel Weber IT Support
    miércoles, 7 de julio de 2010 11:44
  • Lo que el usuario que tiene el problema debe hacer es denegar que se aplique la politica.

    Saludos.


    Emanuel Weber IT Support

    Denegar que se aplique al grupo administradores o al que el quiera que no se le aplique.
    Emanuel Weber IT Support
    miércoles, 7 de julio de 2010 11:45
  • ____. gracias voy a leer bien todo lo que habeis contestado, pruebo y os cuento.

    El trabajo no me deja!!! :) Saludos

     

    miércoles, 7 de julio de 2010 11:55
  • Gracias a los dos, es lo malo de haber no haber hecho una configuración como ésta y basarse sólo en documentos que parece que no hubiera entendido del todo. Es decir, que los filtros a nivel de usuario en GPOs con looback aplicadas a equipos sí funcionan. Murcias garcias a los dos.

    Un saludo

    Fernando Reyes [MS MVP]
    MCSA 2000/2003
    MCSE 2000/2003
    MCITP EnterpriseAdministrator
    Web: http://freyes.svetlian.com
    Blog: http://urpiano.wordpress.com
    RSS: http://urpiano.wordpress.com/feed/
    freyes.champú@champú.mvps.org
    (Aclárate la cabeza si quieres escribirme)
    miércoles, 7 de julio de 2010 12:44
    Moderador
  • En tu caso socio me parece que con 1 super-máquina de esas que pones no necesitas montar mucho de ésto ;-)
    -------- Salu2!! Javier Inglés https://mvp.support.microsoft.com/profile=540CC20A-D91F-4E7B-A209-2CB5567431B0 MS MVP, Windows Server-Directory Services. Microsoft Active Professional 2010
    miércoles, 7 de julio de 2010 13:03
  • Funcionan porque la máquina "se hace pasar" por el usuario (doble personalidad ;-) )


    Saludos,

    Marc
    MCSA/MCSE 2003
    MCITP: Enterprise Administrator
    MCITP: Enterprise Messaging Administrator
    miércoles, 7 de julio de 2010 13:20
    Moderador