Group Policy Creators Owners

Algunos datos que pueden ayudarte :-)

El grupo Group Policy Creator Owners, contrariamente a lo que está escrito
en muchos lados (la ayuda inclusive) NO da permisos para modificar las GPOs.
Está más que nada por compatibilidad con W2000, ya que en esta versión era
la única forma para que un usuario pudiera CREAR GPOs.
Esto tiene una consecuencia, el que crea una GPO es el Propietario (Owner) y
por lo tanto tiene Control Total, pero sólo de las GPOs que él crea

En W2003, esto se puede otorgar a nivel dominio con GPMC, no hace falta usar
el mencionado grupo :-)

Los permisos sobre GPOs, ya lo habrás sentido :-), son bastante complicados,
porque en realidad hay 3 lugares para darlos. Poder crear: en el dominio,
poder enlazar: en el contenedor (OU, Dom, o Sitio), poder modificar: en la
propia: GPO

Luego, la conclusión es que si quieres que un grupo pueda modificar GPOs, no
tiene más remedio que asignarlo GPO por GPO, o aunque nunca lo he probado,
pero supongo que esto lo puedes delegar a nivel de dominio con delegación.
No tengo ahora ningún DC a la mano para probarlo


Guillermo Delprato
MVP - MCT - MCSE
Buenos Aires, Argentina
http://w2k8-server.spaces.live.com/

Este mensaje se proporciona "como está" sin garantías de ninguna clase,y no
otorga ningún derecho. Ud. asume los riesgos
This posting is provided "AS IS" with no warranties, and confer no rights.
You assume all risk for your use.



"Francisco Cangrejo" wrote in message
news:

Gente del Grupo:

Tengo en mi dominio una buena cantidad de politicas de grupo. Ahora bien,
he distribuido los grupos de usuarios de acuerdo a las tareas
administrativas que necesitan especificamente. Asi elimino el uso
indiscriminado de la cuenta de Administrador y toda cuenta de usuario
perteneciente a Enterprise Admins o a Domain Admins.

He creado un grupo de usuarios cuya funcion es administrar politicas de
dominio. He delegado a ese grupo la habilidad de crear GPOs, administrar
vinculos, links, hacer modeling y results. Pero mi inconveniente esta en
que ninguno de los usuarios pertenecientes a ese grupo pueden modificar
las politicas ya creadas a menos que especifique en delegacion de cada
objeto al grupo en cuestion. En adicion, si un usuario (pongamosle A) crea
una directiva, el usaurio B (ambos pertenecientes al grupo de
administracion de GPO), no puede modifiacar dicha politica y si veo el ACL
de la directiva creada no encuentro ni GPO Creator owners ni el gruop que
yo cree, sino el usuario A (a parte de los administradores). Mi pregunta
es como hacer que cada politica nueva que se cree incluya al grupo de
administradores de GPO que yo cree o al grupo "Group POolicy Creator
Owners"??????

Puedo hacerlo manualmente en las ya creadas, pero hay alguna forma de que
estas hereden los permisos otorgados a estos nuevos grupos de
administracion????

Saludos y gracias de antemano.

Guillermo gracias por tu respuesta.

Efectivamente he concluido las investigaciones y solamente, para las GPOs ya
creadas, debo asignarles el permiso manualmente, como tu dices.

Ahora bien, tengo a mano un KB, el
http://support.microsoft.com/kb/321476/en-us, que explica como cambiar la
ACL predeterminada que se asigna a las nuevas GPOs. Particularmente me
parece bueno a fines de automatizar la delegacion para futuras GPOs que se
creen, pero tocar el schema... es algo delicado.



Podria decirte que se crean GPOs una vez cada muerte de obispo... es decir,
cuando surge algun inconveniente y otro tipo de caso que deba solucionarse
con GPOs y eso no sucede con frecuencia. Valdria la pena hacerlo en estos
casos?



Saludos!



"Guilermo Delprato [MS-MVP]"
escribió en el mensaje news:ev8GC%

Algunos datos que pueden ayudarte :-)

El grupo Group Policy Creator Owners, contrariamente a lo que está escrito
en muchos lados (la ayuda inclusive) NO da permisos para modificar las
GPOs.
Está más que nada por compatibilidad con W2000, ya que en esta versión era
la única forma para que un usuario pudiera CREAR GPOs.
Esto tiene una consecuencia, el que crea una GPO es el Propietario (Owner)
y por lo tanto tiene Control Total, pero sólo de las GPOs que él crea

En W2003, esto se puede otorgar a nivel dominio con GPMC, no hace falta
usar el mencionado grupo :-)

Los permisos sobre GPOs, ya lo habrás sentido :-), son bastante
complicados, porque en realidad hay 3 lugares para darlos. Poder crear: en
el dominio, poder enlazar: en el contenedor (OU, Dom, o Sitio), poder
modificar: en la propia: GPO

Luego, la conclusión es que si quieres que un grupo pueda modificar GPOs,
no tiene más remedio que asignarlo GPO por GPO, o aunque nunca lo he
probado, pero supongo que esto lo puedes delegar a nivel de dominio con
delegación. No tengo ahora ningún DC a la mano para probarlo


Guillermo Delprato
MVP - MCT - MCSE
Buenos Aires, Argentina
http://w2k8-server.spaces.live.com/

Este mensaje se proporciona "como está" sin garantías de ninguna clase,y
no otorga ningún derecho. Ud. asume los riesgos
This posting is provided "AS IS" with no warranties, and confer no rights.
You assume all risk for your use.



"Francisco Cangrejo" wrote in message
news:

Gente del Grupo:

Tengo en mi dominio una buena cantidad de politicas de grupo. Ahora bien,
he distribuido los grupos de usuarios de acuerdo a las tareas
administrativas que necesitan especificamente. Asi elimino el uso
indiscriminado de la cuenta de Administrador y toda cuenta de usuario
perteneciente a Enterprise Admins o a Domain Admins.

He creado un grupo de usuarios cuya funcion es administrar politicas de
dominio. He delegado a ese grupo la habilidad de crear GPOs, administrar
vinculos, links, hacer modeling y results. Pero mi inconveniente esta en
que ninguno de los usuarios pertenecientes a ese grupo pueden modificar
las politicas ya creadas a menos que especifique en delegacion de cada
objeto al grupo en cuestion. En adicion, si un usuario (pongamosle A)
crea una directiva, el usaurio B (ambos pertenecientes al grupo de
administracion de GPO), no puede modifiacar dicha politica y si veo el
ACL de la directiva creada no encuentro ni GPO Creator owners ni el gruop
que yo cree, sino el usuario A (a parte de los administradores). Mi
pregunta es como hacer que cada politica nueva que se cree incluya al
grupo de administradores de GPO que yo cree o al grupo "Group POolicy
Creator Owners"??????

Puedo hacerlo manualmente en las ya creadas, pero hay alguna forma de que
estas hereden los permisos otorgados a estos nuevos grupos de
administracion????

Saludos y gracias de antemano.

Gracias por el dato, no conocía ese artúculo! Y no es que los conozca todos
:-)

Modificar el esquema es una operación de riesgo, hay que ser muy cuidadoso
porque no es fácil volver atrás, aunque si uno es cuidadoso no trae
problemas.

Si conviene o no depende de cuán útil te sea. Si el cambio que necesitas es
esporádico seguramente no conviene cambiar el esquema. Pero, se te facilita
mucho el trabajo entonces justifica. Tú debes evaluar si justifica o no.

Si tienes dudas, puedes probarlo en un ambiente de laboratorio antes de
llevarlo a productivo


Guillermo Delprato
MVP - MCT - MCSE
Buenos Aires, Argentina
http://w2k8-server.spaces.live.com/

Este mensaje se proporciona "como está" sin garantías de ninguna clase,y no
otorga ningún derecho. Ud. asume los riesgos
This posting is provided "AS IS" with no warranties, and confer no rights.
You assume all risk for your use.



"Francisco Cangrejo" wrote in message
news:

Guillermo gracias por tu respuesta.

Efectivamente he concluido las investigaciones y solamente, para las GPOs
ya creadas, debo asignarles el permiso manualmente, como tu dices.

Ahora bien, tengo a mano un KB, el
http://support.microsoft.com/kb/321476/en-us, que explica como cambiar la
ACL predeterminada que se asigna a las nuevas GPOs. Particularmente me
parece bueno a fines de automatizar la delegacion para futuras GPOs que se
creen, pero tocar el schema... es algo delicado.



Podria decirte que se crean GPOs una vez cada muerte de obispo... es
decir, cuando surge algun inconveniente y otro tipo de caso que deba
solucionarse con GPOs y eso no sucede con frecuencia. Valdria la pena
hacerlo en estos casos?



Saludos!



"Guilermo Delprato [MS-MVP]"
escribió en el mensaje news:ev8GC%

Algunos datos que pueden ayudarte :-)

El grupo Group Policy Creator Owners, contrariamente a lo que está
escrito en muchos lados (la ayuda inclusive) NO da permisos para
modificar las GPOs.
Está más que nada por compatibilidad con W2000, ya que en esta versión
era la única forma para que un usuario pudiera CREAR GPOs.
Esto tiene una consecuencia, el que crea una GPO es el Propietario
(Owner) y por lo tanto tiene Control Total, pero sólo de las GPOs que él
crea

En W2003, esto se puede otorgar a nivel dominio con GPMC, no hace falta
usar el mencionado grupo :-)

Los permisos sobre GPOs, ya lo habrás sentido :-), son bastante
complicados, porque en realidad hay 3 lugares para darlos. Poder crear:
en el dominio, poder enlazar: en el contenedor (OU, Dom, o Sitio), poder
modificar: en la propia: GPO

Luego, la conclusión es que si quieres que un grupo pueda modificar GPOs,
no tiene más remedio que asignarlo GPO por GPO, o aunque nunca lo he
probado, pero supongo que esto lo puedes delegar a nivel de dominio con
delegación. No tengo ahora ningún DC a la mano para probarlo


Guillermo Delprato
MVP - MCT - MCSE
Buenos Aires, Argentina
http://w2k8-server.spaces.live.com/

Este mensaje se proporciona "como está" sin garantías de ninguna clase,y
no otorga ningún derecho. Ud. asume los riesgos
This posting is provided "AS IS" with no warranties, and confer no
rights. You assume all risk for your use.



"Francisco Cangrejo" wrote in message
news:

Gente del Grupo:

Tengo en mi dominio una buena cantidad de politicas de grupo. Ahora
bien, he distribuido los grupos de usuarios de acuerdo a las tareas
administrativas que necesitan especificamente. Asi elimino el uso
indiscriminado de la cuenta de Administrador y toda cuenta de usuario
perteneciente a Enterprise Admins o a Domain Admins.

He creado un grupo de usuarios cuya funcion es administrar politicas de
dominio. He delegado a ese grupo la habilidad de crear GPOs, administrar
vinculos, links, hacer modeling y results. Pero mi inconveniente esta en
que ninguno de los usuarios pertenecientes a ese grupo pueden modificar
las politicas ya creadas a menos que especifique en delegacion de cada
objeto al grupo en cuestion. En adicion, si un usuario (pongamosle A)
crea una directiva, el usaurio B (ambos pertenecientes al grupo de
administracion de GPO), no puede modifiacar dicha politica y si veo el
ACL de la directiva creada no encuentro ni GPO Creator owners ni el
gruop que yo cree, sino el usuario A (a parte de los administradores).
Mi pregunta es como hacer que cada politica nueva que se cree incluya al
grupo de administradores de GPO que yo cree o al grupo "Group POolicy
Creator Owners"??????

Puedo hacerlo manualmente en las ya creadas, pero hay alguna forma de
que estas hereden los permisos otorgados a estos nuevos grupos de
administracion????

Saludos y gracias de antemano.

Perfecto, actualmente no cuento con dicho entorno... pero me parece que sera
el mio propio... no puedo testearlo en el entorno productivo del cliente.

Lo hare y posteare los resultados.

Gracias!

"Guilermo Delprato [MS-MVP]"
escribió en el mensaje news:

Gracias por el dato, no conocía ese artúculo! Y no es que los conozca
todos :-)

Modificar el esquema es una operación de riesgo, hay que ser muy cuidadoso
porque no es fácil volver atrás, aunque si uno es cuidadoso no trae
problemas.

Si conviene o no depende de cuán útil te sea. Si el cambio que necesitas
es esporádico seguramente no conviene cambiar el esquema. Pero, se te
facilita mucho el trabajo entonces justifica. Tú debes evaluar si
justifica o no.

Si tienes dudas, puedes probarlo en un ambiente de laboratorio antes de
llevarlo a productivo


Guillermo Delprato
MVP - MCT - MCSE
Buenos Aires, Argentina
http://w2k8-server.spaces.live.com/

Este mensaje se proporciona "como está" sin garantías de ninguna clase,y
no otorga ningún derecho. Ud. asume los riesgos
This posting is provided "AS IS" with no warranties, and confer no rights.
You assume all risk for your use.



"Francisco Cangrejo" wrote in message
news:

Guillermo gracias por tu respuesta.

Efectivamente he concluido las investigaciones y solamente, para las GPOs
ya creadas, debo asignarles el permiso manualmente, como tu dices.

Ahora bien, tengo a mano un KB, el
http://support.microsoft.com/kb/321476/en-us, que explica como cambiar la
ACL predeterminada que se asigna a las nuevas GPOs. Particularmente me
parece bueno a fines de automatizar la delegacion para futuras GPOs que
se creen, pero tocar el schema... es algo delicado.



Podria decirte que se crean GPOs una vez cada muerte de obispo... es
decir, cuando surge algun inconveniente y otro tipo de caso que deba
solucionarse con GPOs y eso no sucede con frecuencia. Valdria la pena
hacerlo en estos casos?



Saludos!



"Guilermo Delprato [MS-MVP]"
escribió en el mensaje
news:ev8GC%

Algunos datos que pueden ayudarte :-)

El grupo Group Policy Creator Owners, contrariamente a lo que está
escrito en muchos lados (la ayuda inclusive) NO da permisos para
modificar las GPOs.
Está más que nada por compatibilidad con W2000, ya que en esta versión
era la única forma para que un usuario pudiera CREAR GPOs.
Esto tiene una consecuencia, el que crea una GPO es el Propietario
(Owner) y por lo tanto tiene Control Total, pero sólo de las GPOs que él
crea

En W2003, esto se puede otorgar a nivel dominio con GPMC, no hace falta
usar el mencionado grupo :-)

Los permisos sobre GPOs, ya lo habrás sentido :-), son bastante
complicados, porque en realidad hay 3 lugares para darlos. Poder crear:
en el dominio, poder enlazar: en el contenedor (OU, Dom, o Sitio), poder
modificar: en la propia: GPO

Luego, la conclusión es que si quieres que un grupo pueda modificar
GPOs, no tiene más remedio que asignarlo GPO por GPO, o aunque nunca lo
he probado, pero supongo que esto lo puedes delegar a nivel de dominio
con delegación. No tengo ahora ningún DC a la mano para probarlo


Guillermo Delprato
MVP - MCT - MCSE
Buenos Aires, Argentina
http://w2k8-server.spaces.live.com/

Este mensaje se proporciona "como está" sin garantías de ninguna clase,y
no otorga ningún derecho. Ud. asume los riesgos
This posting is provided "AS IS" with no warranties, and confer no
rights. You assume all risk for your use.



"Francisco Cangrejo" wrote in message
news:

Gente del Grupo:

Tengo en mi dominio una buena cantidad de politicas de grupo. Ahora
bien, he distribuido los grupos de usuarios de acuerdo a las tareas
administrativas que necesitan especificamente. Asi elimino el uso
indiscriminado de la cuenta de Administrador y toda cuenta de usuario
perteneciente a Enterprise Admins o a Domain Admins.

He creado un grupo de usuarios cuya funcion es administrar politicas de
dominio. He delegado a ese grupo la habilidad de crear GPOs,
administrar vinculos, links, hacer modeling y results. Pero mi
inconveniente esta en que ninguno de los usuarios pertenecientes a ese
grupo pueden modificar las politicas ya creadas a menos que especifique
en delegacion de cada objeto al grupo en cuestion. En adicion, si un
usuario (pongamosle A) crea una directiva, el usaurio B (ambos
pertenecientes al grupo de administracion de GPO), no puede modifiacar
dicha politica y si veo el ACL de la directiva creada no encuentro ni
GPO Creator owners ni el gruop que yo cree, sino el usuario A (a parte
de los administradores). Mi pregunta es como hacer que cada politica
nueva que se cree incluya al grupo de administradores de GPO que yo
cree o al grupo "Group POolicy Creator Owners"??????

Puedo hacerlo manualmente en las ya creadas, pero hay alguna forma de
que estas hereden los permisos otorgados a estos nuevos grupos de
administracion????

Saludos y gracias de antemano.