como puedo aplicar 1 GPO a un grupo dentro de una Unidad Organiza

Desiderio, eso no es exactamente así. Realmente sí se pueden aplicar las
GPOs a grupos, simplemente filtrando la seguridad de aplicación de la GPO a
los grupos que quieras (por defecto se aplican a Todos). De esta forma, se
aplican a la intersección entre los componentes del grupo (sean usuarios y/o
equipos) y las cuentas de usuario o equipo que están bajo el ámbito de la
GPO. Si haces esto a nivel dominio, es lo mismo que si las GPO se aplicasen
a los grupos seleccionados.

Saludos

"Desiderio Ondo." escribió en el
mensaje de noticias:

Hola, Raúl:

Lo siento mucho, pero me temo que las GPO sólo se pueden
aplicar a los objetos AD de usuario y de máquina. NO se pueden
aplicar a los objetos de grupo...

Ahora bien, quizá exista algún aplicativo y/o pluggin de terceros
que permita hacerlo, pero sinceramente, yo no conozco ninguno...
·
Confío haberte servido de "alluda"
==> Desiderio Ondo | Ing. en Informática.
MCSA | MCSE Windows Server 2K3.
http://pantuflo.escet.urjc.es/~desitech


"raul" wrote:

hola, necesito aplicar una GPO que ya está creeda en una Unidad
Organizativa
a un grupo de seguridad en concreto.No se como hacerlo.¿Me echáis un
cable?

Gracias.

Saludos.

Raúl

Hola, Guillermo:

Muy interesante... la verdad es que jamás lo hubiera sospechado
siquiera... Gracias por compartirnos tu inmensa sapiencia, monstruo !!

PD. Mira que llegas a ser enreversado, tío ;-P
·
Confío haberte servido de "alluda"
==Desiderio Ondo | Ing. en Informática.
MCSA | MCSE Windows Server 2K3.
http://pantuflo.escet.urjc.es/~desitech


"Guilermo Delprato [MS-MVP]" wrote:

Perdón que me meta, pero creo que puedo aportar algo. En realidad el procedimiento que creo que es "más limpio" es como ya pusieron, agregando una OU y aplicando a esa sub-OU.

Pero se pueden aplicar GPOs a grupos dentro de una OU ;-)

En ADUC hay que poner en Ver / Opciones Avanzadas, luego cada objeto del AD muestra una ficha Seguridad.
Para que a una cuenta le aplique la GPO, esta cuenta debe tener los permisos de Allow Read y Allow Apply GPO, que por omisión lo tiene Authenticated Users, y el resultado es que la aplica a todos los usuarios y máquinas.

Pero si yo quisiera exceptuar a un grupo, bastaría con agregar este grupo en la ACL con el permiso de Deny Apply GPO, y como el denegado prevalece sobre el otorgado... ;-)

No es muy recomendable es procedimiento que describo porque en caso de problemas, la detección puede ser un dolor de cabeza, pero funcionar funciona


Guillermo Delprato
MVP - MCT - MCSE
Buenos Aires, Argentina

Este mensaje se proporciona "como está" sin garantías de ninguna clase,y no otorga ningún derecho. Ud. asume los riesgos
This posting is provided "AS IS" with no warranties, and confer no rights. You assume all risk for your use.



"Javier Terán González" wrote in message news:
Tienes razón.

Tendrías que meter los usuarios de ese grupo en esa segunda OU.

Un saludo.
"Desiderio Ondo." escribió en el mensaje de noticias:
Hola, Javier:

Lo siento, pero las GPO's no se aplican a los objetos AD de grupo
(aunque estén dentro de nuevas OU's). Por si tienes alguna duda,
te recomiendo eches un vistazo a:

Diseño de GPO compatibles con la Admin. de seguridad:
http://www.microsoft.com/spain/tech...2.mspx#EFD
·
Confío haberte servido de "alluda"
==> Desiderio Ondo | Ing. en Informática.
MCSA | MCSE Windows Server 2K3.
http://pantuflo.escet.urjc.es/~desitech


"Javier Terán González" wrote:

> Siempre puedes crear una unidad organizativa dentro de la OU principal en
> la que meter sólamente ese grupo y a la que puedes aplicar la GPO.
>
> Un saludo.
> "raul" escribió en el mensaje de
> noticias:
> hola, necesito aplicar una GPO que ya está creeda en una Unidad
> Organizativa
> a un grupo de seguridad en concreto.No se como hacerlo.¿Me echáis un
> cable?
>
> Gracias.
>
> Saludos.
>
> Raúl
>

Hola, José Antonio:

Lo reconozco... ni siquiera me había planteado el filtrado de
la aplicación de las GPO, ya que como quien dice, me aprendí
la expresión de mi MCT y ahí se quedó.

Te agradezco la aclaración, monstruo. Haré unas prácticas extra
en mi máquina virtual, a ver cómo lo puedo destrozar...

PD. Mira que llegas a ser complicado ;-)
·
Confío haberte servido de "alluda"
==Desiderio Ondo | Ing. en Informática.
MCSA | MCSE Windows Server 2K3.
http://pantuflo.escet.urjc.es/~desitech


"José Antonio Quílez [MS MVP]" wrote:

Desiderio, eso no es exactamente así. Realmente sí se pueden aplicar las
GPOs a grupos, simplemente filtrando la seguridad de aplicación de la GPO a
los grupos que quieras (por defecto se aplican a Todos). De esta forma, se
aplican a la intersección entre los componentes del grupo (sean usuarios y/o
equipos) y las cuentas de usuario o equipo que están bajo el ámbito de la
GPO. Si haces esto a nivel dominio, es lo mismo que si las GPO se aplicasen
a los grupos seleccionados.

Saludos

"Desiderio Ondo." escribió en el
mensaje de noticias:
> Hola, Raúl:
>
> Lo siento mucho, pero me temo que las GPO sólo se pueden
> aplicar a los objetos AD de usuario y de máquina. NO se pueden
> aplicar a los objetos de grupo...
>
> Ahora bien, quizá exista algún aplicativo y/o pluggin de terceros
> que permita hacerlo, pero sinceramente, yo no conozco ninguno...
> ·
> Confío haberte servido de "alluda"
> ==> > Desiderio Ondo | Ing. en Informática.
> MCSA | MCSE Windows Server 2K3.
> http://pantuflo.escet.urjc.es/~desitech
>
>
> "raul" wrote:
>
>> hola, necesito aplicar una GPO que ya está creeda en una Unidad
>> Organizativa
>> a un grupo de seguridad en concreto.No se como hacerlo.¿Me echáis un
>> cable?
>>
>> Gracias.
>>
>> Saludos.
>>
>> Raúl

Todo tiene su ACL, todo todo, aunque a veces no hay forma de verlo fácil. Y
si te metes con un editor de LDAP directamente mejor ni te cuento :-)))


Guillermo Delprato
MVP - MCT - MCSE
Buenos Aires, Argentina

Este mensaje se proporciona "como está" sin garantías de ninguna clase,y no
otorga ningún derecho. Ud. asume los riesgos
This posting is provided "AS IS" with no warranties, and confer no rights.
You assume all risk for your use.



"Desiderio Ondo." wrote in message
news:

Hola, Guillermo:

Muy interesante... la verdad es que jamás lo hubiera sospechado
siquiera... Gracias por compartirnos tu inmensa sapiencia, monstruo !!

PD. Mira que llegas a ser enreversado, tío ;-P
·
Confío haberte servido de "alluda"
==> Desiderio Ondo | Ing. en Informática.
MCSA | MCSE Windows Server 2K3.
http://pantuflo.escet.urjc.es/~desitech


"Guilermo Delprato [MS-MVP]" wrote:

Perdón que me meta, pero creo que puedo aportar algo. En realidad el
procedimiento que creo que es "más limpio" es como ya pusieron, agregando
una OU y aplicando a esa sub-OU.

Pero se pueden aplicar GPOs a grupos dentro de una OU ;-)

En ADUC hay que poner en Ver / Opciones Avanzadas, luego cada objeto del
AD muestra una ficha Seguridad.
Para que a una cuenta le aplique la GPO, esta cuenta debe tener los
permisos de Allow Read y Allow Apply GPO, que por omisión lo tiene
Authenticated Users, y el resultado es que la aplica a todos los usuarios
y máquinas.

Pero si yo quisiera exceptuar a un grupo, bastaría con agregar este grupo
en la ACL con el permiso de Deny Apply GPO, y como el denegado prevalece
sobre el otorgado... ;-)

No es muy recomendable es procedimiento que describo porque en caso de
problemas, la detección puede ser un dolor de cabeza, pero funcionar
funciona


Guillermo Delprato
MVP - MCT - MCSE
Buenos Aires, Argentina

Este mensaje se proporciona "como está" sin garantías de ninguna clase,y
no otorga ningún derecho. Ud. asume los riesgos
This posting is provided "AS IS" with no warranties, and confer no
rights. You assume all risk for your use.



"Javier Terán González" wrote in message
news:
Tienes razón.

Tendrías que meter los usuarios de ese grupo en esa segunda OU.

Un saludo.
"Desiderio Ondo." escribió
en el mensaje de
noticias:
Hola, Javier:

Lo siento, pero las GPO's no se aplican a los objetos AD de grupo
(aunque estén dentro de nuevas OU's). Por si tienes alguna duda,
te recomiendo eches un vistazo a:

Diseño de GPO compatibles con la Admin. de seguridad:

http://www.microsoft.com/spain/tech...2.mspx#EFD
·
Confío haberte servido de "alluda"
==>> Desiderio Ondo | Ing. en Informática.
MCSA | MCSE Windows Server 2K3.
http://pantuflo.escet.urjc.es/~desitech


"Javier Terán González" wrote:

> Siempre puedes crear una unidad organizativa dentro de la OU
principal en
> la que meter sólamente ese grupo y a la que puedes aplicar la GPO.
>
> Un saludo.
> "raul" escribió en el mensaje de
> noticias:
> hola, necesito aplicar una GPO que ya está creeda en una Unidad
> Organizativa
> a un grupo de seguridad en concreto.No se como hacerlo.¿Me echáis
un
> cable?
>
> Gracias.
>
> Saludos.
>
> Raúl
>