GPOs ...

Respuestas abajo

Guillermo Delprato
MVP - MCT - MCSE
Buenos Aires, Argentina

NOTA. Por favor, las preguntas y comentarios en los grupos, así nos
beneficiamos todos.

Este mensaje se proporciona "como está" sin garantías de ninguna clase,
y no otorga ningún derecho. Ud. asume los riesgos This posting is
provided "AS IS" with no warranties, and confers no rights. You assume
all risk for your use.


Edmundo J. Dávila wrote:

Hola :

Estoy algo confundido con el funcionamiento de las GPOs, no soy
experto en windows server y todo lo que he aplicado hasta ahora ha
sido a pura lectura y colaboracion de ustedes, lo cual les agradezco.

Mis dudas puntuales son las siguientes:

1. Los objetos GPOs tienen 2 secciones: Computer y User
Configuration. Segun entiendo Computer Configuration se aplica a
todas las computadoras que se logeen al dominio, sin importar con que
usuario, y User Configuration las aplica especificamente a un usuario
o grupo de ellos. Sin embargo, en Computer Configuration \ Windows
Settings \ Security Settings \ Local Policies, no estoy claro si esto
se aplica a todas las maquinas del dominio o solo en las que se
configuran. Apreciaria sus comentarios.

Cuando una GPO se enlaza a un dominio afectará a todos los usurios y
máquinas del dominio. Cuando se enlaza a una OU, afectará a todas las
cuentas en esa OU o en otras OU que estén dentro de la primera
Aunque la GPO tenga configuración de usuario y de máquina, si está enlazada
a una OU que tiene sólo los usuarios (las máquinas están en otra OU) sólo se
aplicará la parte de usuario.
Y similar, si se aplica a una OU que tiene sólo las máquinas (no usuarios)
sólo se aplicará la parte de máquina
Si aplicas esa misma GPO a una OU donde están tanto máquinas como usuarios,
se aplica todo

2. ¿que prevale, las politicas de la maquina local o las politicas
del dominio?

El orden de aplicación es:
1- La local
2- La/s enlazadas a Sitios
3- La/s enlazadas al Dominio
4- La/s enlazadas a la OU
5- La/s enlazadas a la OU
... de acuerdo a cómo es el camino para llegar desde el domino a la OU donde
está la cuenta

La configuración final es la combinación de todas las configuraciones de
cada GPO. Aunque con algunas excepciones, el valor por omisión es que en
caso de conflicto prevalece la última en aplicar.

Pero este orden se puede cambiar, con dos opciones:
A- A nivel de contenedor se puede Bloquear Herencia, con lo cual se bloquean
todas las GPOS que vienen "de arriba"
B- A nivel de enlace (link) se puede Forzar (No Override o Enforce de
acuerdo a si no usas GPMC o si)

3. Entiendo que para activar una politica debo poner el "link
enabled" y la misma quedara activa para los usuarios o grupos a que
se aplique en un dominio x. Tambien entiendo que las GPOs se
ejecutan de arriba hacia abajo. ¿que significa exactamente el
"enforced"?, ¿que todo lo de esa politica se prevalece sin importar
si la de arriba la contradice?

Creo que las respuestas anteriores responden esto ;-) Pero si quieres algo
más completo sigue leyendo

El orden por omisión es: La máquina arranca, aplica la Local Policy, se
autentica con AD, el DC le da la lista de GPOs a aplicar de acuerdo a la OU
donde está la cuenta de máquina. Se ejecutan en orden estas GPOs sólo la
rama Computer Configuration, corren los Startup Scripts, y aparece el cuadro
de inicio de sesión.
Cuando el usuario coloca su nombre y contraseña sucede algo similar. Se
autentica el usuario, el DC suministra la lista de GPOs. Se ejecutan en
orden estas GPOs sólo la rama User Configuration, se ejecutan los Logon
Scripts, y aparece el escritorio

Completando, si algo está en la Local Policy configurado, y en todas las
GPOs de dominio está como *no configurado* entonces la configuración de la
local queda.
Pero si alguna de dominio tiene esa opción configurada, siempre prevalece

De antemano gracias por su colaboracion.

Edmundo J. Davila

P.D. Gracias nuevamente a Javier Ingles por la recomendacion del GPM
snap-in me ha facilitado mucho las cosas.