Ayuda con GPO por favor

Funcionan como has descrito y lo has entendido bien, pero, en el caso de que
haya una política que entra en conflicto con otra, prevalece el caso más
restrictivo, en cuyo caso, para solventarlo, basta con hacer que la política
esté forzada para que sea posible su configuración, pero el resto es como
has descrito

Salu2!!
Javier Inglés
MS MVP, Windows Server-Directory Services





"Maxim" escribió en el mensaje
news:
> Vaya, yo que creia que ya lo empezaba a comprender y ahora lo entiendo
> todavia menos, te comento:
>
> Yo creia que las GPO en las OU eran escalonadas, es decir, primero se
> aplican las GPO de "Departamentos" y luego las de "Compras", y éstas
> últimas
> son las que priman. Pensaba que si yo en "Departamentos" especifico
> "Prohibir
> el acceso al Panel de control" y luego en "Compras" le digo que si que
> pueden
> acceder, finalmente los usuarios de Compras podrán acceder. Y que en si en
> "Ventas" y "Administracion" lo dejo como no configurado heredarán la
> política
> de "Departamentos".
>
> Segun me dices tu, ¿serviria entonces forzar la politica en "Compras"?
>
> Saludos y perdón por las molestias, sigo sin entender como funcionan.
>
>
> "Javier Inglés [MS MVP]" escribió:
>
>> "Vayamos ahora a un caso práctico. Hay una politica que permite impedir
>> la
>> ejecución de Windows Messenger. Si quiero que se aplique esta politica la
>> defino en la OU "Departamentos" y como consecuencia todos los usuarios de
>> los
>> 3 departamentos no podran ejecutar el programa. Si algun dia quiero que
>> los
>> usuarios del departamento de Compras puedan usarlo solo deberia cambiar
>> la
>> GPO de la OU "Compras" y habilitar la ejecución de Windows Messenger.
>>
>> ¿Cierto?"
>>
>> No, prima la política más restrictiva, que en este caso es la de dejar el
>> Messenger capado; si quieres habilitarlo debes crear una GPO en la OU de
>> Compras sólo con la parte de configuración del Messenger y forzarla para
>> que
>> no se sobreescriba, si no no te servirá de nada.
>>
>> Las GPO son por OU, si quieres aplicarla por usuario, debes jugar con el
>> filtrado del ámbito como te puse en el otro enlace
>>
>> Salu2!!
>> Javier Inglés
>> MS MVP, Windows Server-Directory Services
>>
>>
>>
>>
>>
>> "Maxim" escribió en el mensaje
>> news:
>> > Vale, entonces si no lo he entendido mal la cosa podria ser asi:
>> >
>> > Supongamos que tengo 3 departamentos: Compras, Ventas y Administracion.
>> > Me
>> > interesa tener una politica que afecte a los 3 departamentos, por lo
>> > que
>> > creo
>> > una OU denominada "Departamentos" y aplico una nueva GPO.
>> >
>> > Tambien me interesa que cada departamento tenga ademas una politica
>> > particular, por lo que dentro de la OU "Departamentos" creo 3 OU
>> > denominadas
>> > "Compras", "Ventas" y "Administracion" y a cada una de estas 3 OU
>> > aplico
>> > una
>> > nueva GPO. De esta forma conseguiria que a los usuarios del
>> > departamento,
>> > por
>> > ejemplo, de Ventas se les aplique la GPO "Departamentos" + la GPO
>> > "Ventas".
>> >
>> > ¿Correcto?
>> >
>> > Vayamos ahora a un caso práctico. Hay una politica que permite impedir
>> > la
>> > ejecución de Windows Messenger. Si quiero que se aplique esta politica
>> > la
>> > defino en la OU "Departamentos" y como consecuencia todos los usuarios
>> > de
>> > los
>> > 3 departamentos no podran ejecutar el programa. Si algun dia quiero que
>> > los
>> > usuarios del departamento de Compras puedan usarlo solo deberia cambiar
>> > la
>> > GPO de la OU "Compras" y habilitar la ejecución de Windows Messenger.
>> >
>> > ¿Cierto?
>> >
>> > En definitiva, quiero aplicar una politica general y otra que herede la
>> > general y que tenga algunos cambios (para departamentos). Tambien
>> > quiero
>> > asegurarme de que más adelante podré aplicar politicas por usuario, de
>> > tal
>> > forma que finalmente la cosa quedaria así: GPO para todos + GPO para
>> > deptos.
>> > + GPO para usuarios.
>> >
>> > Si voy mal encaminado y podeis ofrecerme una solución alternativa os lo
>> > agradeceria, saludos
>> >
>> >
>> > "Javier Inglés [MS MVP]" escribió:
>> >
>> >> Por cada OU en la que quieres tener una GPO personalizada, debes crear
>> >> una
>> >> GPO y unirla a dicha GPO, por lo que tendrá la configuración de la
>> >> Default
>> >> Domain Policy+GPO de dicha OU. En caso de conflicto prima la
>> >> configuración
>> >> de la GPO de la OU (excepto en el apartado de seguridad, que siempre
>> >> prima
>> >> la del dominio por diseño).
>> >>
>> >> Para filtrar el ámbito de una GPO:
>> >>
>> >> Filtering the Scope of a GPO
>> >>
>> >> http://www.jsiinc.com/SUBM/tip6400/rh6420.htm
>> >>
>> >>
>> >>
>> >> En la misma ayuda, mírate las opciones de las GPO's en cuanto a
>> >> dejarla
>> >> forzada y que no se deje sobreeescribir por otra "padre"; la ayuda es
>> >> clara
>> >> y precisa al respecto.
>> >>
>> >>
>> >>
>> >> Para el tema del Office, si tú añades la plantilla ADM en la Default
>> >> Domain
>> >> Policy (mal hecho, MS recomienda que ni la default domain ni default
>> >> domain
>> >> controller se toquen, si no que se creen otras para editar), sólo
>> >> podrás
>> >> verlo en dicha GPO, si creas una nueva, es una nueva GPO en la que
>> >> deberás
>> >> añadir de nuevo la plantilla y configurarla; eso sí, si en la defualt
>> >> domain
>> >> policy pones una configuración de Office, se heredará en el resto de
>> >> OU's
>> >> hijas
>> >>
>> >>
>> >> Salu2!!
>> >> Javier Inglés
>> >> MS MVP, Windows Server-Directory Services
>> >>
>> >>
>> >>
>> >>
>> >>
>> >> "Maxim" escribió en el mensaje
>> >> news:
>> >> > Hola a todos
>> >> >
>> >> > Necesito implementar GPO pero por mucho que miro la documentación no
>> >> > logro
>> >> > comprender como debo hacerlo.
>> >> >
>> >> > Quisiera que en primer lugar se ejecute la Default Group Policy, a
>> >> > continuación se aplicaquen politicas por departamento (una politica
>> >> > por
>> >> > cada
>> >> > uno de ellos) y finalmente si es necesario aplicar politicas
>> >> > individuales
>> >> > por
>> >> > usuario (no me gustaria llegar hasta este extremo pero quizas con el
>> >> > tiempo
>> >> > me sea necesario).
>> >> >
>> >> > La cuestión es: ¿como hago para que se ejecuten por este orden?
>> >> > ¿Debo
>> >> > crear
>> >> > unidades organizativas que simbolicen departamentos y agregar los
>> >> > usuarios
>> >> > de
>> >> > cada departamento a su OU correspondiente? ¿o se hace de otra forma?
>> >> >
>> >> > Una última pregunta: me he bajado las plantillas administrativas del
>> >> > Office
>> >> > 2003, las agrego a la default policy y ningún problema. Sin embargo,
>> >> > no
>> >> > me
>> >> > aparecen en una OU que ya tengo creada, es decir, no la "hereda".
>> >> > ¿Es
>> >> > posible
>> >> > que estas plantillas se muestren automaticamente en todas las OU que
>> >> > yo
>> >> > cree
>> >> > o debo ir una por una y añadir estas plantillas?
>> >> >
>> >> > Saludos
>> >>
>> >>
>> >>
>>
>>
>>

Vale, gracias Javier, voy a pelearme con ellas

Saludos

"Javier Inglés [MS MVP]" escribió:

Funcionan como has descrito y lo has entendido bien, pero, en el caso de
que
haya una política que entra en conflicto con otra, prevalece el caso más
restrictivo, en cuyo caso, para solventarlo, basta con hacer que la
política
esté forzada para que sea posible su configuración, pero el resto es como
has descrito

Salu2!!
Javier Inglés
MS MVP, Windows Server-Directory Services





"Maxim" escribió en el mensaje
news:
> Vaya, yo que creia que ya lo empezaba a comprender y ahora lo entiendo
> todavia menos, te comento:
>
> Yo creia que las GPO en las OU eran escalonadas, es decir, primero se
> aplican las GPO de "Departamentos" y luego las de "Compras", y éstas
> últimas
> son las que priman. Pensaba que si yo en "Departamentos" especifico
> "Prohibir
> el acceso al Panel de control" y luego en "Compras" le digo que si que
> pueden
> acceder, finalmente los usuarios de Compras podrán acceder. Y que en si
> en
> "Ventas" y "Administracion" lo dejo como no configurado heredarán la
> política
> de "Departamentos".
>
> Segun me dices tu, ¿serviria entonces forzar la politica en "Compras"?
>
> Saludos y perdón por las molestias, sigo sin entender como funcionan.
>
>
> "Javier Inglés [MS MVP]" escribió:
>
>> "Vayamos ahora a un caso práctico. Hay una politica que permite
>> impedir
>> la
>> ejecución de Windows Messenger. Si quiero que se aplique esta politica
>> la
>> defino en la OU "Departamentos" y como consecuencia todos los usuarios
>> de
>> los
>> 3 departamentos no podran ejecutar el programa. Si algun dia quiero
>> que
>> los
>> usuarios del departamento de Compras puedan usarlo solo deberia
>> cambiar
>> la
>> GPO de la OU "Compras" y habilitar la ejecución de Windows Messenger.
>>
>> ¿Cierto?"
>>
>> No, prima la política más restrictiva, que en este caso es la de dejar
>> el
>> Messenger capado; si quieres habilitarlo debes crear una GPO en la OU
>> de
>> Compras sólo con la parte de configuración del Messenger y forzarla
>> para
>> que
>> no se sobreescriba, si no no te servirá de nada.
>>
>> Las GPO son por OU, si quieres aplicarla por usuario, debes jugar con
>> el
>> filtrado del ámbito como te puse en el otro enlace
>>
>> Salu2!!
>> Javier Inglés
>> MS MVP, Windows Server-Directory Services
>>
>>
>>
>>
>>
>> "Maxim" escribió en el mensaje
>> news:
>> > Vale, entonces si no lo he entendido mal la cosa podria ser asi:
>> >
>> > Supongamos que tengo 3 departamentos: Compras, Ventas y
>> > Administracion.
>> > Me
>> > interesa tener una politica que afecte a los 3 departamentos, por lo
>> > que
>> > creo
>> > una OU denominada "Departamentos" y aplico una nueva GPO.
>> >
>> > Tambien me interesa que cada departamento tenga ademas una politica
>> > particular, por lo que dentro de la OU "Departamentos" creo 3 OU
>> > denominadas
>> > "Compras", "Ventas" y "Administracion" y a cada una de estas 3 OU
>> > aplico
>> > una
>> > nueva GPO. De esta forma conseguiria que a los usuarios del
>> > departamento,
>> > por
>> > ejemplo, de Ventas se les aplique la GPO "Departamentos" + la GPO
>> > "Ventas".
>> >
>> > ¿Correcto?
>> >
>> > Vayamos ahora a un caso práctico. Hay una politica que permite
>> > impedir
>> > la
>> > ejecución de Windows Messenger. Si quiero que se aplique esta
>> > politica
>> > la
>> > defino en la OU "Departamentos" y como consecuencia todos los
>> > usuarios
>> > de
>> > los
>> > 3 departamentos no podran ejecutar el programa. Si algun dia quiero
>> > que
>> > los
>> > usuarios del departamento de Compras puedan usarlo solo deberia
>> > cambiar
>> > la
>> > GPO de la OU "Compras" y habilitar la ejecución de Windows
>> > Messenger.
>> >
>> > ¿Cierto?
>> >
>> > En definitiva, quiero aplicar una politica general y otra que herede
>> > la
>> > general y que tenga algunos cambios (para departamentos). Tambien
>> > quiero
>> > asegurarme de que más adelante podré aplicar politicas por usuario,
>> > de
>> > tal
>> > forma que finalmente la cosa quedaria así: GPO para todos + GPO para
>> > deptos.
>> > + GPO para usuarios.
>> >
>> > Si voy mal encaminado y podeis ofrecerme una solución alternativa os
>> > lo
>> > agradeceria, saludos
>> >
>> >
>> > "Javier Inglés [MS MVP]" escribió:
>> >
>> >> Por cada OU en la que quieres tener una GPO personalizada, debes
>> >> crear
>> >> una
>> >> GPO y unirla a dicha GPO, por lo que tendrá la configuración de la
>> >> Default
>> >> Domain Policy+GPO de dicha OU. En caso de conflicto prima la
>> >> configuración
>> >> de la GPO de la OU (excepto en el apartado de seguridad, que
>> >> siempre
>> >> prima
>> >> la del dominio por diseño).
>> >>
>> >> Para filtrar el ámbito de una GPO:
>> >>
>> >> Filtering the Scope of a GPO
>> >>
>> >> http://www.jsiinc.com/SUBM/tip6400/rh6420.htm
>> >>
>> >>
>> >>
>> >> En la misma ayuda, mírate las opciones de las GPO's en cuanto a
>> >> dejarla
>> >> forzada y que no se deje sobreeescribir por otra "padre"; la ayuda
>> >> es
>> >> clara
>> >> y precisa al respecto.
>> >>
>> >>
>> >>
>> >> Para el tema del Office, si tú añades la plantilla ADM en la
>> >> Default
>> >> Domain
>> >> Policy (mal hecho, MS recomienda que ni la default domain ni
>> >> default
>> >> domain
>> >> controller se toquen, si no que se creen otras para editar), sólo
>> >> podrás
>> >> verlo en dicha GPO, si creas una nueva, es una nueva GPO en la que
>> >> deberás
>> >> añadir de nuevo la plantilla y configurarla; eso sí, si en la
>> >> defualt
>> >> domain
>> >> policy pones una configuración de Office, se heredará en el resto
>> >> de
>> >> OU's
>> >> hijas
>> >>
>> >>
>> >> Salu2!!
>> >> Javier Inglés
>> >> MS MVP, Windows Server-Directory Services
>> >>
>> >>
>> >>
>> >>
>> >>
>> >> "Maxim" escribió en el mensaje
>> >> news:
>> >> > Hola a todos
>> >> >
>> >> > Necesito implementar GPO pero por mucho que miro la documentación
>> >> > no
>> >> > logro
>> >> > comprender como debo hacerlo.
>> >> >
>> >> > Quisiera que en primer lugar se ejecute la Default Group Policy,
>> >> > a
>> >> > continuación se aplicaquen politicas por departamento (una
>> >> > politica
>> >> > por
>> >> > cada
>> >> > uno de ellos) y finalmente si es necesario aplicar politicas
>> >> > individuales
>> >> > por
>> >> > usuario (no me gustaria llegar hasta este extremo pero quizas con
>> >> > el
>> >> > tiempo
>> >> > me sea necesario).
>> >> >
>> >> > La cuestión es: ¿como hago para que se ejecuten por este orden?
>> >> > ¿Debo
>> >> > crear
>> >> > unidades organizativas que simbolicen departamentos y agregar los
>> >> > usuarios
>> >> > de
>> >> > cada departamento a su OU correspondiente? ¿o se hace de otra
>> >> > forma?
>> >> >
>> >> > Una última pregunta: me he bajado las plantillas administrativas
>> >> > del
>> >> > Office
>> >> > 2003, las agrego a la default policy y ningún problema. Sin
>> >> > embargo,
>> >> > no
>> >> > me
>> >> > aparecen en una OU que ya tengo creada, es decir, no la "hereda".
>> >> > ¿Es
>> >> > posible
>> >> > que estas plantillas se muestren automaticamente en todas las OU
>> >> > que
>> >> > yo
>> >> > cree
>> >> > o debo ir una por una y añadir estas plantillas?
>> >> >
>> >> > Saludos
>> >>
>> >>
>> >>
>>
>>
>>