Políticas de grupo
Hola a los expertos.
Os planteo esta cuestión, espero podáis echarme un cable.
Dominio W2000 Server. Por defecto tenemos la Default Group Policy que se aplica a los usuarios autenticados; hago cambios a esa política para añadir proxy, pero no quiero que lo haga a los administradores: pues si me lo hace aunque le quite la marca de "aplicar política". Entonces para evitar esto, me creo un grupo con todos los usuarios a los que quiero poner proxy y creo nueva política. Quito usuarios autenticados y añado este grupo nuevo creado, verifico que no aplique a administradores. Pues no me aplica esa política a los usuarios.
¿Qué estoy haciendo mal? Un saludo y gracias.
Os planteo esta cuestión, espero podáis echarme un cable.
Dominio W2000 Server. Por defecto tenemos la Default Group Policy que se aplica a los usuarios autenticados; hago cambios a esa política para añadir proxy, pero no quiero que lo haga a los administradores: pues si me lo hace aunque le quite la marca de "aplicar política". Entonces para evitar esto, me creo un grupo con todos los usuarios a los que quiero poner proxy y creo nueva política. Quito usuarios autenticados y añado este grupo nuevo creado, verifico que no aplique a administradores. Pues no me aplica esa política a los usuarios.
¿Qué estoy haciendo mal? Un saludo y gracias.
1 Respuesta
Respuesta de belinski
1
En tu primera prueba, el error está en que los administradores son también usuarios. No te valdría con quitar al grupo el aplicar política, sino que tendrías que negarla explícitamente y no se si eso te interesa con la política por defecto a nivel de dominio. Si puedes hacerlo solucionado.
El segundo caso, no está tan claro. ¿Dónde has enlazado la nueva GPO? ¿Si ahora son dos GPO en que orden se aplican?, podría ser incluso un tema de no haber refrescado la política (secedit /refreshpolicy) y que no tuvieras más que esperar. Pero me faltarían datos para hacerte un diagnóstico exacto.
De todas maneras por guiarte un poco, para evitarte problemas futuros trata de no utilizar el filtrado de GPOs (o sea el asignar permisos) en la medida de lo posible.
Es decir, siempre es mejor crear una nueva unidad organizativa con las cuentas de usuario a las que quieres aplicar la configuración y aplicar a ese nivel una nueva GPO que usar filtrado y más aun si tienes que aplicar más GPOs a nivel de dominio.
Si tienes a mano el resource kit, puedes usar el snap-in "resultant set of policy" (no recuerdo el castellano, perdona), que te va a ayudar bastante en esta clase de situaciones. También tenemos gpresult, pero es línea de comandos y entre tu y yo es un poco coñazo.
A por ello que lo tenías casi.
El segundo caso, no está tan claro. ¿Dónde has enlazado la nueva GPO? ¿Si ahora son dos GPO en que orden se aplican?, podría ser incluso un tema de no haber refrescado la política (secedit /refreshpolicy) y que no tuvieras más que esperar. Pero me faltarían datos para hacerte un diagnóstico exacto.
De todas maneras por guiarte un poco, para evitarte problemas futuros trata de no utilizar el filtrado de GPOs (o sea el asignar permisos) en la medida de lo posible.
Es decir, siempre es mejor crear una nueva unidad organizativa con las cuentas de usuario a las que quieres aplicar la configuración y aplicar a ese nivel una nueva GPO que usar filtrado y más aun si tienes que aplicar más GPOs a nivel de dominio.
Si tienes a mano el resource kit, puedes usar el snap-in "resultant set of policy" (no recuerdo el castellano, perdona), que te va a ayudar bastante en esta clase de situaciones. También tenemos gpresult, pero es línea de comandos y entre tu y yo es un poco coñazo.
A por ello que lo tenías casi.
Muchas gracias por tu ayuda; al final lo que he hecho, ya que el numero de usuarios no es muy elevado y la política va a ser para restringir ciertas opciones (no la aplicare a administradores) es quitar usuarios autenticados y aplicarla a grupo de usuarios finales. De esta manera solo hay una política que iré restringiendo y solo se aplica al grupo de usuarios finales. El tema de las UO esta muy bien, pero no creo que lo vaya a aplicar al menos de momento. Un saludo y de nuevo gracias!
