Forums Últimos mensajes - Powered by IBM
 
Tags Palabras claves

Dudas con GPOs

21/11/2008 - 10:40 por Luis Royo | Informe spam
Ayuda Hacer una pregunta
Saludos a todo el foro.

Escenario:
He creado una GPO vinculada a una OU.
En la GPO he habilitado dos directivas que impiden que el usuario pueda
borrar y modificar el historial de navegación del Internet Explorer.
He comprobado que la directivas se aplican ok a los usuarios pertenecientes
a la OU.
Ahora quiero añadir un grupo local en la configuración de la GPO, de tal
forma que a los usuarios pertenecientes a ese grupo local no se les aplique
la GPO.
Para ello, he añadido en la ficha "Delegación" el grupo local, y con el
botón "Avanzadas" he verificado que el permiso "Aplicar directiva de grupos"
NO tiene marcado la casilla de "Permitir".

Problema:
En el usuario que he añadido a ese grupo local, se le sigue aplicando la
GPO. ¿Por qué?
He probado a forzar la actualización de las directivas desde el equipo
cliente usando el comando "gpupdate /force", sin éxito.
He incluso he cambiado el permiso "Aplicar directiva de grupos", marcando la
casilla "Denegar", en el grupo local. Tampoco me funciona.

¿Qué estoy haciendo mal?
Gracias,
Luis
email Siga el debateRespuesta 2 respuestasRespuesta Tengo una respuesta

Preguntas similare

Mostrar todos los temas similares

Leer las respuestas

#1 Desiderio Ondo.
21/11/2008 - 12:45 | Informe spam
Hola, Luis:

Una sugerencia: No hubiera sido mucho más sencillo crear una nueva
OU en donde asignes el grupo local que te interesa y habilitar dentro
del mismo la herencia de GPO? Y para mayor seguridad, podrías crear
en la misma OU una GPO que tuviera configurado lo contrario, amén de
asignar a la misma las GPO mínimas corporativas que NO entren en
conflicto con el historial del IExplorer...

Después de todo, todas aquellas cuentas de usuario locales que inicien
la sesión en las máquinas, al no iniciar la sesión en el <domain>, no
pueden cargar las directivas establecidas a nivel de dominio (a menos
que explícitamente cargues las GPO a la cuenta de máquina), por lo que
te recomiendo revises el editor de directivas local (ejecutar => gpedit.msc)
para comprobar si tiene alguna sorpresita...
·
Ya nos contarás cómo te ha ido...
==Desiderio Ondo | Ing. en Informática.
Certificado ITIL | MCSE MS-w2K3.
http://pantuflo.escet.urjc.es/~desitech


"Luis Royo" wrote:

Saludos a todo el foro.

Escenario:
He creado una GPO vinculada a una OU.
En la GPO he habilitado dos directivas que impiden que el usuario pueda
borrar y modificar el historial de navegacin del Internet Explorer.
He comprobado que la directivas se aplican ok a los usuarios pertenecientes
a la OU.
Ahora quiero aadir un grupo local en la configuracin de la GPO, de tal
forma que a los usuarios pertenecientes a ese grupo local no se les aplique
la GPO.
Para ello, he aadido en la ficha "Delegacin" el grupo local, y con el
botn "Avanzadas" he verificado que el permiso "Aplicar directiva de grupos"
NO tiene marcado la casilla de "Permitir".

Problema:
En el usuario que he aadido a ese grupo local, se le sigue aplicando la
GPO. Por qu?
He probado a forzar la actualizacin de las directivas desde el equipo
cliente usando el comando "gpupdate /force", sin xito.
He incluso he cambiado el permiso "Aplicar directiva de grupos", marcando la
casilla "Denegar", en el grupo local. Tampoco me funciona.

Qu estoy haciendo mal?
Gracias,
Luis

Respuesta Responder a este mensaje
#2 José Antonio Quílez [MS MVP]
21/11/2008 - 16:39 | Informe spam
Evidente. A los miembros del grupo no se les aplica, pero hay más grupos con
aplicación de esa GPO, no es así? Y todos los usuarios que estén en la OU
pertenecen indirectamente al grupos Todos, o al Usuarios Autentificados,
etc, grupos a los que presumo que sí se aplica la GPO.
Salvo que hagas denegaciones explícitas, las GPO se aplican a una cuenta con
la condición de que pertenezca tan sólo a uno de los grupos que tenga
marcada la casilla de aplicar la GPO. Esa es la razón de que se siga
aplicando a todas las cuentas.

Saludos

José Antonio Quílez [MS MVP]
http://msmvps.com/blogs/quilez/

"Luis Royo" escribió en el mensaje de
noticias:
Saludos a todo el foro.

Escenario:
He creado una GPO vinculada a una OU.
En la GPO he habilitado dos directivas que impiden que el usuario pueda
borrar y modificar el historial de navegación del Internet Explorer.
He comprobado que la directivas se aplican ok a los usuarios
pertenecientes a la OU.
Ahora quiero añadir un grupo local en la configuración de la GPO, de tal
forma que a los usuarios pertenecientes a ese grupo local no se les
aplique la GPO.
Para ello, he añadido en la ficha "Delegación" el grupo local, y con el
botón "Avanzadas" he verificado que el permiso "Aplicar directiva de
grupos" NO tiene marcado la casilla de "Permitir".

Problema:
En el usuario que he añadido a ese grupo local, se le sigue aplicando la
GPO. ¿Por qué?
He probado a forzar la actualización de las directivas desde el equipo
cliente usando el comando "gpupdate /force", sin éxito.
He incluso he cambiado el permiso "Aplicar directiva de grupos", marcando
la casilla "Denegar", en el grupo local. Tampoco me funciona.

¿Qué estoy haciendo mal?
Gracias,
Luis
email Siga el debate Respuesta Responder a este mensaje
Ads by Google
Help Hacer una preguntaRespuesta Tengo una respuesta
Search Busqueda sugerida