Lio mental con las directivas de grupo, usuarios, etc...

Filtering the Scope of a GPO

http://www.jsiinc.com/SUBM/tip6400/rh6420.htm


Salu2!!
Javier Inglés
MS MVP, Windows Server-Directory Services





"CJ" escribió en el mensaje
news:d4lnqq$2cu$

Vamos a ver. Tengo un servidor para una dominio en una red local, ej..
pepito.local. He creado unos usuarios y unos equipos en AD para logear con
el server en el grupo "Usuarios del dominio". Hasta ahí todo bien. Ahora
quiero que algunos no puedan hacer determinadas cosas. Para ello en
"Usuarios y Equipos del AD" en Propiedades de pepito.local hago una
directiva de grupo le pongo un nombre ej. prueba y modifico lo que de mé
la gana. Bien. Ahora: ¿como se la aplica a determinados usuarios, no a
todos ? Creo una OU. La creo pero no me deja añadir los usuarios q tengo,
los tengo q borrar del grupo de usuarios del dominio y agregarlos a la OU
pero cuando logean con la maquina server no se aplican las directivas.Es
que tengo un cacao mental... Plis ayuda.

Hola CJ.

Pues si que tienes un lio!

Para empezar lo normal es asignar directivas a las unidades organizativas y
no a nivel de dominio, aunque según el caso, ya que determinadas directivas
sólo funcionan a ese nivel.

¿Cómo que no puedes mover los objetos a la unidad organizativa que creas?
los objetos se pueden mover contenedores sin problema menudo lio si cada vez
que tengo que cambiar a un usuario de unidad organizativa me lo tengo que
cargar.

Prueba este ejemplo muy simple:

crea una unidad organiaztiva.
crea un usuario dentro.
crea un objeto de directiva de grupo a nivel de usuario que impida por
ejemplo hacer click con el botón derecho del ratón y guárdala.
haz logon con una máquina que pertenezca al dominio y que el dns en tcpip
esté apuntando al controlador de dominio.

Ésto te tiene que funcionar oye los clientes serán 2000 o xp no ?

un saludo.

"CJ" escribió:

Vamos a ver. Tengo un servidor para una dominio en una red local, ej..
pepito.local. He creado unos usuarios y unos equipos en AD para logear con
el server en el grupo "Usuarios del dominio". Hasta ahí todo bien. Ahora
quiero que algunos no puedan hacer determinadas cosas. Para ello en
"Usuarios y Equipos del AD" en Propiedades de pepito.local hago una
directiva de grupo le pongo un nombre ej. prueba y modifico lo que de mé la
gana. Bien. Ahora: ¿como se la aplica a determinados usuarios, no a todos ?
Creo una OU. La creo pero no me deja añadir los usuarios q tengo, los tengo
q borrar del grupo de usuarios del dominio y agregarlos a la OU pero cuando
logean con la maquina server no se aplican las directivas.Es que tengo un
cacao mental... Plis ayuda.

Gracias, ya lo he resuelto. Era una auténtica tontería. Resulta que en el
menú contextual con botón derecho en un usuario o equipo aparece la opción
Mover... que te permite, pues eso, mover el usuario al OU q creas al que le
aplicas la Directiva de Grupo. Como ves una tontería.
Más preguntas tontas ¿un usuario puede pertenecer a más de una OU? ¿Puedo
evitar que un usuario cuando logue en su máquina solo le aparezca la opción
del dominio y no la opción como usuario local?



"juanma" escribió en el mensaje
news:

Hola CJ.

Pues si que tienes un lio!

Para empezar lo normal es asignar directivas a las unidades organizativas
y
no a nivel de dominio, aunque según el caso, ya que determinadas
directivas
sólo funcionan a ese nivel.

¿Cómo que no puedes mover los objetos a la unidad organizativa que creas?
los objetos se pueden mover contenedores sin problema menudo lio si cada
vez
que tengo que cambiar a un usuario de unidad organizativa me lo tengo que
cargar.

Prueba este ejemplo muy simple:

crea una unidad organiaztiva.
crea un usuario dentro.
crea un objeto de directiva de grupo a nivel de usuario que impida por
ejemplo hacer click con el botón derecho del ratón y guárdala.
haz logon con una máquina que pertenezca al dominio y que el dns en tcpip
esté apuntando al controlador de dominio.

Ésto te tiene que funcionar oye los clientes serán 2000 o xp no ?

un saludo.

"CJ" escribió:

Vamos a ver. Tengo un servidor para una dominio en una red local, ej..
pepito.local. He creado unos usuarios y unos equipos en AD para logear
con
el server en el grupo "Usuarios del dominio". Hasta ahí todo bien. Ahora
quiero que algunos no puedan hacer determinadas cosas. Para ello en
"Usuarios y Equipos del AD" en Propiedades de pepito.local hago una
directiva de grupo le pongo un nombre ej. prueba y modifico lo que de mé
la
gana. Bien. Ahora: ¿como se la aplica a determinados usuarios, no a todos
?
Creo una OU. La creo pero no me deja añadir los usuarios q tengo, los
tengo
q borrar del grupo de usuarios del dominio y agregarlos a la OU pero
cuando
logean con la maquina server no se aplican las directivas.Es que tengo
un
cacao mental... Plis ayuda.

Puedes hacer una UO dentro de otra , y a los usuarios de la segunda hacer
que hereden las directivas del primero más las que tu añades, o bloquerlas
para que no hereden directivas de la primera OU, sería como pertenecer a dos
OU.

En cuanto a lo 2º no creo que sea posible, pues puede ser necesario entrar
por lo menos como administrador en local, y es dificil que el sistema sepa
antes de arrancar con que usuario vas a entrar para ocultarte o mostrarte la
sesión local.
Si puedes aplicar una directiva local para impedir a un usuario iniciar
sesión en esa máquina.

"CJ" escribió en el mensaje
news:d4od77$e3v$

Gracias, ya lo he resuelto. Era una auténtica tontería. Resulta que en el
menú contextual con botón derecho en un usuario o equipo aparece la opción
Mover... que te permite, pues eso, mover el usuario al OU q creas al que

le

aplicas la Directiva de Grupo. Como ves una tontería.
Más preguntas tontas ¿un usuario puede pertenecer a más de una OU? ¿Puedo
evitar que un usuario cuando logue en su máquina solo le aparezca la

opción

del dominio y no la opción como usuario local?



"juanma" escribió en el mensaje
news:
> Hola CJ.
>
> Pues si que tienes un lio!
>
> Para empezar lo normal es asignar directivas a las unidades

organizativas

> y
> no a nivel de dominio, aunque según el caso, ya que determinadas
> directivas
> sólo funcionan a ese nivel.
>
> ¿Cómo que no puedes mover los objetos a la unidad organizativa que

creas?

> los objetos se pueden mover contenedores sin problema menudo lio si cada
> vez
> que tengo que cambiar a un usuario de unidad organizativa me lo tengo

que

> cargar.
>
> Prueba este ejemplo muy simple:
>
> crea una unidad organiaztiva.
> crea un usuario dentro.
> crea un objeto de directiva de grupo a nivel de usuario que impida por
> ejemplo hacer click con el botón derecho del ratón y guárdala.
> haz logon con una máquina que pertenezca al dominio y que el dns en

tcpip

> esté apuntando al controlador de dominio.
>
> Ésto te tiene que funcionar oye los clientes serán 2000 o xp no ?
>
> un saludo.
>
> "CJ" escribió:
>
>> Vamos a ver. Tengo un servidor para una dominio en una red local, ej..
>> pepito.local. He creado unos usuarios y unos equipos en AD para logear
>> con
>> el server en el grupo "Usuarios del dominio". Hasta ahí todo bien.

Ahora

>> quiero que algunos no puedan hacer determinadas cosas. Para ello en
>> "Usuarios y Equipos del AD" en Propiedades de pepito.local hago una
>> directiva de grupo le pongo un nombre ej. prueba y modifico lo que de

mé

>> la
>> gana. Bien. Ahora: ¿como se la aplica a determinados usuarios, no a

todos

>> ?
>> Creo una OU. La creo pero no me deja añadir los usuarios q tengo, los
>> tengo
>> q borrar del grupo de usuarios del dominio y agregarlos a la OU pero
>> cuando
>> logean con la maquina server no se aplican las directivas.Es que tengo
>> un
>> cacao mental... Plis ayuda.
>>
>>
>>