none
Implementación huella dactilar y Windows Hello en usuario de dominio RRS feed

  • Pregunta

  • Hola buenas,

    Desde que he ingresado un portatil Lenovo al dominio empresarial se ha deshabilitado la opción de acceso por huella con el mensaje "Tu organización administra algunas opciones de configuración". He intentado aplicar algunas directivas localmente en el equipo y otras mediante las herramientas administrativas del servidor desde un equipo W10 pero no ha dado resultado, siguen en gris... como dato les digo que el nivel funcional de mi dominio es 2008 y el servidor es 2008 R2, directamente en el editor de politicas del servidor no están incluidas las plantillas para W10... por eso las he habilitado desde un pc W10 con RSAT. Alguna idea para solucionar esto? me urge un poco. Muchas gracias

    Un saludo

    miércoles, 10 de octubre de 2018 11:08

Respuestas

  • Hola, Rajaseck:

    En realidad, la inmensa mayoría de las directivas a nivel de dominio que implementes desde MS w2k8R2 se aplican y son funcionales en clientes MS w10.. pero no han sido pensadas para ello; es como si un fabricante te construyera ruedas con llantas anti-gravedad.. para un coche tirado por caballos! Se podría? Pues sí.. pero no es lo suyo!

    No se trata de actualizar el servidor; personalmente, siempre recomiendo NO modificar un servidor mientras el servicio funcione perfectamente. El "problema" con el OS del servidor es que hace casi 4 años que se cumplió su "ciclo de vida".. y salvo el soporte oficial para MS w2k8R2 SP1 (que finaliza en Enero-2020), todos los productos 2k8 R2 finalizaron su soporte oficial con Microsoft en Enero-2015.
    Más info: https://support.microsoft.com/es-es/lifecycle/search?alpha=Windows%20Server%202008%20R2

    Mi recomendación es que si no quieres gastarte los cuartos en actualizar la versión MS wSERVER, al menos configures las directivas a nivel de dominio más.. importantes para tu scenario. Normalmente, suelen ser unidades de red mapeadas, fondos de escritorio, parámetros básicos del Explorador de Windows.. etc.
    Dentro de X tiempo (como 8-10 meses, por ejemplo) actualizáis los OS de servidores a MS w2k16 (que tendría que ser en 2 pasos!) para que al menos, pudiérais gozar del servicio técnico oficial de Microsoft..

    Desiderio Ondo || Engineer

    miércoles, 10 de octubre de 2018 15:44

Todas las respuestas

  • Hola, Cmuska:

    Por desgracia, la.. "actuación" de los DCs de tu dominio es perfectamente normal, por 3 razones básicas:
    1.- Hablas de un entorno centralizado, en que se han aplicado directivas a nivel de dominio. Por diseño, siempre que la máquina cliente sea miembro del dominio, todas las GPO a nivel de dominio aplicadas tendrán prioridad sobre las GPO locales (especialmente, directivas a nivel de máquina: no importa qué objeto de cuenta de usuario inicie la sesión). La única forma de evitar le aplique directivas de dominio es iniciando sesión por cuenta local; para ello, en usuario escribe: .\[usuario_local] (por ejemplo: .\Administrator, que es lo más habitual).

    2.- Según señalas, tu servidor es MS w2k8R2 (con salida al mercado en Julio-2009) mientras que el nivel funcional del dominio es MS w2k8 (con salida al mercado en Febrero-2008). Como comprenderás, en ese año de diferencia, Microsoft implementó una serie de mejoras y novedades en MS w2k8R2 no presentes en MS w2k8. Un ejemplo básico es la replicación de SYSVOL por RFS (en vez de DFS), encriptación a 128Kb nativo (en vez de opcional).. y *casualmente*, algunas DECENAS de directivas a nivel de dominio extras (pensando en la escalabilidad). Puedes ver más info en:
    · http://www.microsoft.com/windowsserver2008/en/us/whats-new.aspx
    · http://www.microsoft.com/windowsserver2008/en/us/R2-better-together.aspx
    SPOILER: NO es lo mismo MS w2k8 + SP2 que MS w2k8R2. Es un error muy común en la comunidad IT.

    3.- A nivel funcional, podemos definir las Remote System Administration Tools -RSAT- como un conjunto de accesos directos a las consolas de Administración, de modo que facilitan el día-a-día de tareas Administrativas al estar integradas en la estación cliente que lo tenga implementado.. pero NO permiten editar "per se" directivas nuevas, sino que te permiten configurar las que tengas acceso por el servidor con rol "Maestro de Infraestructuras". En otras palabras: una estación cliente.. es un CLIENTE: NO un servidor.

    4.- Como bonus, voy a señalarte que MS w2k8(*) no es el SO para servidor de sistemas cliente MS w10, sino MS w2k12. Por tanto, es lógico que incluso las GPO locales de un cliente MS w10 superen en número a las presentadas en MS w2k8R2.

    Mi recomendación: si la mayoría de tus clientes son MS w10, debería indicarte que implementaras como SO en el servidor MS w2k12.. pero ya no goza de servicio de Soporte oficial, por lo que te recomiendo implementes MS w2k16.


    Desiderio Ondo || Engineer

    miércoles, 10 de octubre de 2018 14:44
  • Hola buenas,

    Gracias por tu respuesta y la información suministrada.

    Es decir entonces que no es posible con el entorno que tengo ahora la activación de la característica a menos que se actualice la versión del servidor? es decir, no hay plantillas administrativas adicionales que pueda agregar al servidor que apliquen a W10? 

    miércoles, 10 de octubre de 2018 14:50
  • Hola, Rajaseck:

    En realidad, la inmensa mayoría de las directivas a nivel de dominio que implementes desde MS w2k8R2 se aplican y son funcionales en clientes MS w10.. pero no han sido pensadas para ello; es como si un fabricante te construyera ruedas con llantas anti-gravedad.. para un coche tirado por caballos! Se podría? Pues sí.. pero no es lo suyo!

    No se trata de actualizar el servidor; personalmente, siempre recomiendo NO modificar un servidor mientras el servicio funcione perfectamente. El "problema" con el OS del servidor es que hace casi 4 años que se cumplió su "ciclo de vida".. y salvo el soporte oficial para MS w2k8R2 SP1 (que finaliza en Enero-2020), todos los productos 2k8 R2 finalizaron su soporte oficial con Microsoft en Enero-2015.
    Más info: https://support.microsoft.com/es-es/lifecycle/search?alpha=Windows%20Server%202008%20R2

    Mi recomendación es que si no quieres gastarte los cuartos en actualizar la versión MS wSERVER, al menos configures las directivas a nivel de dominio más.. importantes para tu scenario. Normalmente, suelen ser unidades de red mapeadas, fondos de escritorio, parámetros básicos del Explorador de Windows.. etc.
    Dentro de X tiempo (como 8-10 meses, por ejemplo) actualizáis los OS de servidores a MS w2k16 (que tendría que ser en 2 pasos!) para que al menos, pudiérais gozar del servicio técnico oficial de Microsoft..

    Desiderio Ondo || Engineer

    miércoles, 10 de octubre de 2018 15:44
  • Hola buenas,

    Otra cosa que olvidé agregar con mi planteamiento y que aun sigo sin poder resolver, es que actualmente la infraestructura es hibrida, es decir, el directorio está sincronizado con Azure AD Connect... y según he leido por allí varia mucho la implementación de Windows Hello dependiendo de esto...pero no he logrado conseguir ningún procedimiento claro a seguir teniendo en cuenta este caso. De antemano gracias por la colaboración que me han dado hasta ahora.

    Un saludo.

    martes, 16 de octubre de 2018 22:58