En este manual, intentaré explicarle las razones típicas por las que un objeto de directiva de grupo (GPO) no se puede aplicar a una unidad organizativa (OU), una computadora específica o un usuario de dominio. Creo que este artículo será útil tanto para principiantes como para profesionales de TI para comprender el funcionamiento y la arquitectura de GPO. En primer lugar, hablaré sobre los posibles problemas de la aplicación de GPO relacionados con la configuración de políticas en el nivel de dominio en lugar de solucionar problemas de GPO en los clientes. Casi todas las opciones descritas en el artículo se configuran mediante la Consola de administración de directivas de grupo (GPMC.msc).
Administrar el alcance de GPO
Si no se aplica una configuración de directiva en un cliente, verifique el alcance de su GPO. Si configura el ajuste en el Configuracion de Computadora sección, su directiva de grupo debe estar vinculada a una unidad organizativa con objetos informáticos. Lo mismo es cierto, si establece sus parámetros en el Sección de configuración de usuario.
También asegúrese de que el objeto al que está tratando de aplicar su GPO esté en el contenedor de AD (OU) de las computadoras o usuarios correctos. Puede buscar un objeto en su dominio. La unidad organizativa que contiene su objeto se especifica en el Objeto pestaña en la consola ADUC (dsa.msc).
Significa que el objeto de destino debe estar ubicado en la unidad organizativa a la que está vinculada la política (o en un contenedor de AD anidado).
Filtrado de seguridad en GPO
Comprobar el Filtrado de seguridad configuraciones en su póliza. De forma predeterminada, todos los nuevos objetos de GPO del dominio tienen los permisos para Usuarios autenticados grupo habilitado. Este grupo incluye a todos los usuarios y equipos del dominio. Significa que la política se aplicará a todos los usuarios y PC dentro de su alcance.
Si desea cambiar el filtrado de seguridad para aplicar la política solo a los miembros del grupo de seguridad específico (o ciertos usuarios / computadoras), elimine los «usuarios autenticados» de la lista de filtrado de seguridad y asegúrese de que el objeto de destino ( un usuario o una computadora) se ha agregado al grupo de AD que necesita. También asegúrese de que el grupo que ha agregado al filtrado de seguridad tenga Leer y Aplicar política de grupo permisos con el Permitir opción marcada en el GPO -> Delegación -> pestaña Avanzado.
Si está utilizando filtros de seguridad de GPO no estándar, verifique que no exista una prohibición explícita sobre el uso de GPO para grupos de destino (Denegar).
Filtrado GPO WMI
Puede utilizar filtros WMI especiales en el GPO. Por lo tanto, puede aplicar una política a sus equipos basada en alguna consulta de WMI. Por ejemplo, puede crear un filtro WMI de GPO para aplicar una política solo a equipos con la versión específica de Windows, a equipos en una determinada subred IP, solo a equipos portátiles, etc.
Cuando utilice el filtrado WMI de directiva de grupo, asegúrese de que su consulta WMI sea correcta. Debe seleccionar solo los sistemas que necesita y sus equipos de destino no están excluidos. Puede probar su filtro WMI en las computadoras que usan PowerShell:
gwmi -Query ‘select * from Win32_OperatingSystem where Version like "10.%" and ProductType="1"‘
Si la consulta devuelve datos, el filtro WMI se aplicará a esta computadora.
Estado de GPO
Verifique el estado de GPO en el Detalles pestaña de las propiedades de la política en GPMC.msc. Tenga en cuenta el valor en el Estado de GPO la lista desplegable.
Como puede ver, hay 4 opciones disponibles:
- Todas las configuraciones deshabilitadas – todas las configuraciones de política están deshabilitadas (GPO no se aplicará);
- Ajustes de configuración de la computadora deshabilitados – no se aplican las configuraciones solo de la configuración de computadora de su GPO;
- Ajustes de configuración de usuario deshabilitados – no se aplican los ajustes de la sección de configuración del usuario;
- Activado – todas las configuraciones de GPO se aplican a los objetos AD de destino (el valor predeterminado).
Delegación de políticas de grupo
Los permisos configurados para una política se muestran en la Delegación pestaña del GPO. Aquí puede ver qué miembros del grupo pueden cambiar esta configuración de GPO y si la política se les aplica. Puede otorgar privilegios para administrar GPO desde esta consola o usando el Asistente de delegación de Active Directory en ADUC. Si hay un permiso de acceso «Controladores de dominio empresarial», esta política se puede replicar entre controladores de dominio de Active Directory (tenga en cuenta si tiene problemas de replicación de políticas entre controladores de dominio). Tenga en cuenta que los permisos en la pestaña Delegación coinciden con los permisos NTFS asignados al directorio de políticas en la carpeta SYSVOL.
Bloquear la herencia y el cumplimiento en el vínculo de la directiva de grupo
La herencia es uno de los principales conceptos de GPO. De forma predeterminada, las políticas de alto nivel se aplican a todos los objetos anidados en la jerarquía del dominio. Sin embargo, un administrador puede bloquear la aplicación de todas las políticas heredadas a la unidad organizativa específica. Para hacerlo, haga clic con el botón derecho en la unidad organizativa en la GPMC y seleccione Bloquear la herencia.
Las unidades organizativas con la opción de herencia bloqueada habilitada tienen el icono de signo de exclamación azul en la consola.
Si una política no se aplica a un cliente, verifique si pertenece a la unidad organizativa con la opción de herencia bloqueada.
Tenga en cuenta que las políticas de dominio con el Cumplido la propiedad habilitada se aplica incluso a las unidades organizativas con la configuración de herencia bloqueada (puede ver las políticas heredadas aplicadas al contenedor en el Herencia de la directiva de grupo pestaña).
Alcance de GPO y procesamiento de orden de precedencia (LSDOU)
Para recordar el orden en el que se aplican las políticas de grupo en el dominio, recuerde el LSDOU abreviatura. Los GPO se aplican a los clientes en el siguiente orden:
- Políticas de la computadora local (Local) configurados en gpedit.msc (si están configurados incorrectamente, puede restablecerlos);
- GPO a nivel de sitio (Sitio);
- GPO de nivel de dominio (Dominio).
- GPO del nivel de la unidad organizativa (Unidad organizacional).
Estas últimas políticas tienen la máxima prioridad. Significa que si habilita alguna configuración de Windows en el nivel de dominio, otra política puede deshabilitarla en el nivel de OU (gana la configuración de política del GPO más cercano al objeto en la jerarquía de AD).
Al usar el Forzado , la política que se encuentra más arriba en la jerarquía del dominio gana (por ejemplo, si la Política de dominio predeterminada tiene habilitada la opción Forzada, tendrá la prioridad más alta que cualquier otro GPO).
Un administrador también puede cambiar el orden de procesamiento de políticas utilizando la consola GPMC. Para hacerlo, seleccione una OU y vaya a la Objetos de política de grupo vinculados pestaña. Hay una lista de GPO aplicados a esta unidad organizativa con la prioridad mostrada. Las pólizas se procesan en orden inverso (de abajo hacia arriba). Significa que una póliza con Orden de enlace 1 se aplicará en último lugar. Puede cambiar la prioridad de GPO usando las flechas en la columna de la izquierda y mover una política hacia arriba o hacia abajo en la lista.
Configuración de enlace habilitado para GPO
Cualquier objeto de GPO vinculado a una unidad organizativa de AD puede tener Enlace habilitado opción activada o desactivada. Si el enlace está desactivado, su icono se vuelve gris. Cuando el vínculo está deshabilitado, la política no se aplica a los clientes, pero el vínculo al objeto de GPO no se quita de la jerarquía del dominio. Puede habilitar el enlace en cualquier momento.
¿Cómo habilitar el modo de procesamiento de bucle invertido de GPO?
Si habilita Modo de procesamiento de bucle invertido, puede aplicar la configuración de la sección Configuración de usuario a un objeto de computadora. Puede habilitar el modo de procesamiento de bucle invertido en la siguiente sección del editor de GPO: Configuración del equipo -> Plantillas administrativas -> Sistema -> Política de grupo -> Configurar el modo de procesamiento de bucle invertido de la política de grupo del usuario. Por ejemplo, si habilita el procesamiento de bucle invertido de la política, establece algunos parámetros de la sección Configuración de usuario y vincula la política a una OU con objetos de computadora, esta configuración de la policía se aplicará a los usuarios registrados.
Este modo de procesamiento de bucle invertido de política tiene dos valores posibles:
- Unir – En primer lugar, se aplican a un usuario los GPO basados en la ubicación del usuario y, a continuación, se aplican los GPO vinculados a una computadora. En caso de conflictos entre el usuario y la política de la unidad organizativa de la computadora, la política de la computadora tendrá mayor prioridad.
En este modo, la política se ejecutará dos veces, anótelo cuando utilice scripts de inicio de sesión.
- Reemplazar – Solo se aplicarán al usuario las políticas asignadas a la unidad organizativa que contiene la computadora en la que un usuario inició sesión.
Solución de problemas de GPO del lado del cliente
Puede diagnosticar la aplicación de GPO del lado del cliente mediante gpresult, rsop.msc o el registro de eventos de Windows. En el Visor de eventos puede filtrar los eventos por GroupPolicy (Microsoft-Windows-GroupPolicy) fuente. Haga lo mismo en Registros de aplicaciones y servicios -> Microsoft -> Windows -> Política de grupo -> Operacional.
En resumen, recomendaré mantener la estructura de su GPO lo más simple posible y no crear políticas innecesarias. Utilice un esquema de nomenclatura de políticas transparente: el nombre debe indicar claramente para qué es el GPO.
Artículos Interesantes
Contenido
