Principales respuestas
GPO segun si dominio o terminal server.

Pregunta
-
Buenos dias, ando liado con este tema y no lo tengo claro, os lo explico:
Tengo usuarios que en condiciones normales se loguean en condiciones normales en una maquina local con AD 2003 server. El caso es que estos usuarios algunos dias se desplazan fuera y se conectan mediante terminal server a nuestra oficina.
Tengo 2 servidores, uno de archivos y ad y otro que se encarga de TS.
Cuando se conectan en local, pueden apagar la maquina ven c: (algunos) etc. y cuando se conectan por Terminal server nos ocurre lo mismo.
He pensado en poner politicas en el objeto del servidor de TS, pero me afecta a TODOS los usuarios incluidos los administradores. Hay alguna forma de diferenciar que aplique unas politicas u otras si se conectar por TS o no?. Es posible aplicar politicas de equipo que no afecten a ciertos usuarios?
Agradecido por adelantado.
Gracias
Respuestas
-
Por poner el ejemplo claro:
Tenemos una OU que se llama "Departemento Friki" , y ahí a "user1" y el equipo "computer1" (lo sé, soy original :-P )-->GPO que aplica una serie de configuraciones
Tenemos una OU que se llama "Terminal Server", y ahí las cuentas de equipo de los servidores para Remote Desktop Services-->GPO con el loopback en modo de reemplazo y una serie de configuraciones que no tienen que ver con la GPO del "Departamento Friki", de esta forma el usuario tiene una configuración en su equipo, y otra totalmente difrente si es una sesión de TS
Si un usuario hace logon en su equipo, se le aplica la GPO de "Departamento Friki", y si lo hace en la de los TS, la GPO de los TS.
Si queremos que a un admionistrasor de dominio no se le aplique la GPO de los TS, tendremos que hacer el filtering scope y marcar que no se le aplique la GPO, de esa forma los domain admins no tienen restricciones en los TS al hacer login en ellos (por ejemplo, no nos interesa que un administrador tenga capadas por ejemplo ciertas opciones del IE pero los usaurios evidentemente sí).
Lo malo es que si se establece en la GPO de TS restricciones en el apartado de configuración d máquina, entonces da igual quien se loguee, ya que es a nivel de máquina y por tanto para todo dios, independiente del user.
no sé si me he llegado a explicar :-P
-------- Salu2!! Javier Inglés https://mvp.support.microsoft.com/profile=540CC20A-D91F-4E7B-A209-2CB5567431B0 MS MVP, Windows Server-Directory Services. Microsoft Active Professional 2010- Marcado como respuesta Javier_Inglés jueves, 8 de julio de 2010 6:08
Todas las respuestas
-
Aplica la GPO a los equipos de TS pero activando en "Loop back processing" en modo Replace. De este modo, cuando los usuarios accedan al dominio se le aplicarán sus GPOs y cuando accedan por TS, sólo aplicarán las GPOs de esos TS
Using Loopback Processing to Configure User Settingshttp://technet.microsoft.com/en-us/library/cc757470(WS.10).aspx
Loopback processing of Group Policy
http://support.microsoft.com/kb/231287/en-us
Saludos,
Marc
MCSA/MCSE 2003
MCITP: Enterprise Administrator
MCITP: Enterprise Messaging Administrator- Propuesto como respuesta Marc SalvadorModerator lunes, 28 de junio de 2010 9:05
- Marcado como respuesta Atilla ArrudaModerator lunes, 28 de junio de 2010 13:04
- Desmarcado como respuesta soyloquepienso lunes, 5 de julio de 2010 16:45
- Votado como útil soyloquepienso lunes, 5 de julio de 2010 16:46
- Marcado como respuesta soyloquepienso lunes, 5 de julio de 2010 16:46
- Desmarcado como respuesta soyloquepienso martes, 6 de julio de 2010 7:53
-
-
El caso es que sigo con el asunto. Y no consigo que me aplique la gpo de equipo nada mas que cuando afecte a usuarios autentificados.
No quiero que afecte al grupo admin asi que indiqué que la gpo se aplicara a G_departamento1, G_departamento2.
He mirado los permisos y son de lectura y aplicacion, pero cuando hago esto no aplica la gpo, solo si añado usuarios autentificados funciona.
Sera el calor que afecta? A mis castigadas neuronas digo :)
Saludos y gracias
-
-
hola. gracias por tu respuesta. me estoy volviendo loco. a los unicos que no quiero que se apliquen es a los administradores, pero nada no lo consigo. Me aplica la gpo. Y no se donde le esta indicando que le aplique a esos usuarios, en delegacion estan los grupos Administradores de organizacion y de dominio pero no tienen marcado aplicar directivas de grupo.
En este pequeño AD que tengo los administradores son miembros de:
- Administradores.
- Administradores de esquema
- Administradores de Organizacion
- Administradores de dominio
- Propietario creador de directiva de grupo
- usuario de escritorio remoto
- usuario de dominio
La UO que contiene el objeto de equipo del servidor de terminal server sobre la que esta vinculada la gpo delega sobre:
- Administradores
- Administradores de organizacion
- Administradores de dominio
- SYSTEM
La GPO como tal delega:
- Administradores de Organizacion
- Administradores de dominio
- Enterprise Domain Controllers
- SYSTEM
- Usuarios Autentificados.
Y haciendo una simulacion de resultados me encuentro con esto que me deja algo OjiplaticO :)
Security Group Membership when Group Policy was appliedBUILTIN\Administradores
Todos
S-1-5-21-300003299-1255276471-2452038848-1004
S-1-5-21-300003299-1255276471-2452038848-1005
BUILTIN\Usuarios
NT AUTHORITY\NETWORK
NT AUTHORITY\Usuarios autentificados
S-1-5-15
dominio\TSSERVER$
dominio\Equipos del dominio
Desde ya. gracias
-
-
Pone BUILTIN\ Administradores no Administradores de dominio , con lo cual no lo está aplicando a estos.
Saludos,
Marc
MCSA/MCSE 2003
MCITP: Enterprise Administrator
MCITP: Enterprise Messaging Administrator
Hola de nuevo. No entiendo muy bien lo que quieres decir. Exactamente es eso.. no deberia aplicarse, sin embargo al en loguearme como administrador se me aplican todas las restricciones .. pero todas, no se le escapa ni una :P -
Si estás usando Loopback, es lógico que no se aplique si filtras por un grupo de usuarios en los que no estén las cuentas de equipo de los servidores TS, y sí se apliquen si agregas a los usuarios autentificados, ya que los equipos pertenecen a este grupo. Que deniegues la aplicación a los administradores no debe funcionar, pues son usuarios y por tanto no se les aplica esa GPO, sólo se aplica a los grupos.
Un saludo
Fernando Reyes [MS MVP]
MCSA 2000/2003
MCSE 2000/2003
MCITP EnterpriseAdministrator
Web: http://freyes.svetlian.com
Blog: http://urpiano.wordpress.com
RSS: http://urpiano.wordpress.com/feed/
freyes.champú@champú.mvps.org
(Aclárate la cabeza si quieres escribirme) -
Si estás usando Loopback, es lógico que no se aplique si filtras por un grupo de usuarios en los que no estén las cuentas de equipo de los servidores TS, y sí se apliquen si agregas a los usuarios autentificados, ya que los equipos pertenecen a este grupo. Que deniegues la aplicación a los administradores no debe funcionar, pues son usuarios y por tanto no se les aplica esa GPO, sólo se aplica a los grupos.
Un saludo
Fernando Reyes [MS MVP]
MCSA 2000/2003
MCSE 2000/2003
MCITP EnterpriseAdministrator
Web: http://freyes.svetlian.com
Blog: http://urpiano.wordpress.com
RSS: http://urpiano.wordpress.com/feed/
freyes.champú@champú.mvps.org
(Aclárate la cabeza si quieres escribirme)
Hola Fernando pues ahora si que me he quedado...Utilizo loopback si.
Que hago para que se aplique a unos grupos especificos de usuarios y no a los administradores?
En el momento que que elimino a los Usuarios Autentificados no se aplica la gpo. Y si los pongo no me aplica a todos los usuarios incluidos los administradores.
-
Si no te he entendido mal, estás usando el método 2, de ahí tu problema. Deberías usar el 1, pero claro, es mucho menos restrictivo, pues se aplican las configuraciones de GPO que el usuario tiene en función de la ubicación de su cuenta. Cuando hablo de métodos 1 y 2 me refiero a este artículo:
Cómo aplicar objetos de directiva de grupo a servidores de Servicios de Terminal Server
http://support.microsoft.com/kb/260370
Un saludo
Fernando Reyes [MS MVP]
MCSA 2000/2003
MCSE 2000/2003
MCITP EnterpriseAdministrator
Web: http://freyes.svetlian.com
Blog: http://urpiano.wordpress.com
RSS: http://urpiano.wordpress.com/feed/
freyes.champú@champú.mvps.org
(Aclárate la cabeza si quieres escribirme) -
Gracias fernando. Pero entonces sigo teniendo el mismo problema. Si un usuario que se conecta desde Oficina central, luego se conecta por terminal server no se le aplican las restricciones de usuario, lo cual es un peligro.
Y el metodo de loopback afecta a todos los usuarios incluidos los administradores lo cual, tambien es un peligro.
Relee este articulo bajo el chorro de aire acondicionado, a ver si asi saco algo en claro porque de verdad que como diria el de eurovision "algo pequeñito" se me esta complicando demasiado. :P
-
Me respondo a mi mismo, el metodo uno no cumple con lo que yo quiero. El usuario mantiene todos los permisos de su OU de permanencia.
Me explico.
Usuario Pepe - UO: Marketing - Con Gpo Marketing que le permite ejecutar internet explorer.
Si se conecta a las maquinas desde dentro, todo perfecto, puede ejecutar Internet explorer.
Usuario Pepe, se loguea a la maquina con TS. por el metodo 1 le aplico que no pueda ejecutar IE, pero "na d na" sigue con los permisos de Marketing.
Si aplico el bucle de directiva. Pepe no puede ejecutar IE, pero ni Pepe ni el Administrador. Tanto por terminal como directamente logueado.
ARRRHHGG... alguna ayuda para ir hacia la luz?
-
Para los TS, usa siempre el "método Loopback"; si quieres que esa GPO no se aplique a los administradores de dominio o u n grupo de usaurios por ejemplo, simplemente en la parte de delegación, lo editas y añades o modificas los permisos y marcas la opción de que NO se aplique la GPO, de esa forma los usuarios tienen la GPO vigente y los administradores no
-------- Salu2!! Javier Inglés https://mvp.support.microsoft.com/profile=540CC20A-D91F-4E7B-A209-2CB5567431B0 MS MVP, Windows Server-Directory Services. Microsoft Active Professional 2010 -
Hola Javier, la teoria esta clara. Pero en la practica.. no me funciona si ves mas arriba donde he puesto la informacion mas detallada, me sigue aplicando las gpos a los administradores.
Debo quitar los usuarios autentificados? Si los quito vuelvo a empezar y no se aplican para el resto de usuarios a un indicando los grupos a los que pertenece en security filtering.
Y con los wmi? me los recomendais?
Saludos y gracias
-
socio, tengo 4 granjas de TS y RDS y siempre ha funcionado :-P.
No tienes que quitar a nadie, y menos a los usuarios autenticados por defecto.
Revisa que estás aplicando bien la denegación de "apply group policy", el segundo enlace que te pongo es muy ilustrativo.
Eso sí...ten en cuenta que si tú has establecido configuraciones por máquina en esa GPO, en ese caso, se aplica por ma´quina y por tanto a todo usuario que se loguee en ella (por ejemplo, las opciones deIE puedes hacerlo a nivel de máquina y de user; si lo haces a nivel de máquina, te da igual quien inicie sesión que se le aplica; si lo haces a nivel de usaurio, y tienes hecho el filtro en la GPO indicado, entonces no se apicará a quien no quieras)
Filtering the Scope of a GPO
http://msdn.microsoft.com/en-us/library/aa373513(VS.85).aspx
How to Implement Group Policy Security Filtering
http://www.windowsnetworking.com/articles_tutorials/Group-Policy-Security-Filtering.html
-------- Salu2!! Javier Inglés https://mvp.support.microsoft.com/profile=540CC20A-D91F-4E7B-A209-2CB5567431B0 MS MVP, Windows Server-Directory Services. Microsoft Active Professional 2010 -
Javier, no acabo de entenderlo ¿qué se me escapa?
Si en una OU tienes las cuentas de equipo exclusivamente y le vinculas una GPO a esa OU, entiendo que por mucho que pongas un grupo de usuarios en el filtrado al que deniegas el aplicar la GPO, ese filtro será ignorado, pues a los únicos objetos a los que se aplica la GPO es a los equipos que están en la GPO. Entiendo por tanto, que si esa GPO tiene puesto el modo de procesamiento de bucle inverso de la directiva de grupo de usuario en modo reemplazar, a pesar de haber filtrado la GPO a un grupo de usuarios, cuando inicien sesión en ese equipo recibirán las configuraciones de usuario que establezca la GPO. Si el bucle inverso no estuviera acivado, las configuraciones de usuario serían ignoradas, no se aplicarían, al no afectar a objetos de usuario.
Un saludo
Fernando Reyes [MS MVP]
MCSA 2000/2003
MCSE 2000/2003
MCITP EnterpriseAdministrator
Web: http://freyes.svetlian.com
Blog: http://urpiano.wordpress.com
RSS: http://urpiano.wordpress.com/feed/
freyes.champú@champú.mvps.org
(Aclárate la cabeza si quieres escribirme) -
Por poner el ejemplo claro:
Tenemos una OU que se llama "Departemento Friki" , y ahí a "user1" y el equipo "computer1" (lo sé, soy original :-P )-->GPO que aplica una serie de configuraciones
Tenemos una OU que se llama "Terminal Server", y ahí las cuentas de equipo de los servidores para Remote Desktop Services-->GPO con el loopback en modo de reemplazo y una serie de configuraciones que no tienen que ver con la GPO del "Departamento Friki", de esta forma el usuario tiene una configuración en su equipo, y otra totalmente difrente si es una sesión de TS
Si un usuario hace logon en su equipo, se le aplica la GPO de "Departamento Friki", y si lo hace en la de los TS, la GPO de los TS.
Si queremos que a un admionistrasor de dominio no se le aplique la GPO de los TS, tendremos que hacer el filtering scope y marcar que no se le aplique la GPO, de esa forma los domain admins no tienen restricciones en los TS al hacer login en ellos (por ejemplo, no nos interesa que un administrador tenga capadas por ejemplo ciertas opciones del IE pero los usaurios evidentemente sí).
Lo malo es que si se establece en la GPO de TS restricciones en el apartado de configuración d máquina, entonces da igual quien se loguee, ya que es a nivel de máquina y por tanto para todo dios, independiente del user.
no sé si me he llegado a explicar :-P
-------- Salu2!! Javier Inglés https://mvp.support.microsoft.com/profile=540CC20A-D91F-4E7B-A209-2CB5567431B0 MS MVP, Windows Server-Directory Services. Microsoft Active Professional 2010- Marcado como respuesta Javier_Inglés jueves, 8 de julio de 2010 6:08
-
Fernando, lo que dice Javier es correcto, yo tengo montado 2 TS y para las restricciones de los usuarios TS uso el procesamiento de bucle inverso que se aplica a la OU donde se encuentra mi TS. En esa OU tambien he definido varias GPO de restriccion para los usuarios y se puede filtrar diciendole a quie grupos se quiere aplicar, y anda perfecto. Lo que el usuario que tiene el problema debe hacer es denegar que se aplique la politica.
Saludos.
Emanuel Weber IT Support -
-
-
Gracias a los dos, es lo malo de haber no haber hecho una configuración como ésta y basarse sólo en documentos que parece que no hubiera entendido del todo. Es decir, que los filtros a nivel de usuario en GPOs con looback aplicadas a equipos sí funcionan. Murcias garcias a los dos.
Un saludo
Fernando Reyes [MS MVP]
MCSA 2000/2003
MCSE 2000/2003
MCITP EnterpriseAdministrator
Web: http://freyes.svetlian.com
Blog: http://urpiano.wordpress.com
RSS: http://urpiano.wordpress.com/feed/
freyes.champú@champú.mvps.org
(Aclárate la cabeza si quieres escribirme) -
En tu caso socio me parece que con 1 super-máquina de esas que pones no necesitas montar mucho de ésto ;-)
-------- Salu2!! Javier Inglés https://mvp.support.microsoft.com/profile=540CC20A-D91F-4E7B-A209-2CB5567431B0 MS MVP, Windows Server-Directory Services. Microsoft Active Professional 2010 -