Home
About
Archives
Contactenos
Ayuda | Help

19  06 2013

Windows Server: Politicas de Grupo, troubleshooting en nuestra arquitectura de Directory Services {HowTo}

GP001[1]Ya hemos hablado en varias oportunidades sobre las Políticas de Grupo (Group Policies), y de como nos ayudan al día a día para administrar y mantener nuestra arquitectura de Directory Services (Active Directory).

Hoy vamos a ver algunas de las causas por las cuales puede fallar la aplicación de una política determinada, o por lo menos las causas mas comunes. Además, les recomiendo realmente leer las otras notas en donde explico en mayor detalle que son las GPOs y como funcionan como para entender en mayor detalle esta nota.

Algo que he visto en varios escenarios es un problema de DNS, recordemos que este servicio es critico para el correcto funcionamiento de nuestro Active Directory. Entonces si el equipo tiene mal configurado los DNS tendrá problemas para autenticarse correctamente. Cuando el cliente recibe la configuración de dirección IP del servicio DHCP, el cliente va al DNS para obtener una lista de controladores de dominio para el dominio. También es a través de los DNS que el cliente obtiene la información de Kerberos del dominio, principalmente el KDC (Kerberos Distribution Center). Por lo cual es recomendable verificar su configuración y funcionamiento.

Otra causa, generalmente es, que la configuración de la política esta definida para el tipo de objeto incorrecto. Cuando editamos una GPO hay dos secciones distintas para las que se pueden editar: Computer Configuration y User Configuration.

www.radians.com.ar © 2013

Recordemos, que los ajustes que se realicen en la “Configuración del equipo” sólo afectara a los objetos de equipo y los ajustes que se realicen en la sección “Configuración de Usuario” afectaran solo a los objetos de usuario. Por ejemplo, si hacemos un cambio que afecte al menú Inicio (ubicado bajo la Configuración de usuario), pero sólo tenemos objetos de equipo bajo en la OU a la cual aplicamos la política, el cambio no será visto por cualquier usuario que inicie sesión.

Relacionado con el ultimo ejemplo, otro error comun es que el objeto del usuario o del equipo no está en la unidad organizativa (OU) correcta. Esto suele pasar, que el administrador no se da cuenta y se aplica la GPO a una OU la cual contiene otro tipo de objetos o no se encuentra el objeto que se esta verificando.

Otra cosa a verificar es que la Configuración de la GPO no este siendo controlado por una GPO con mayor precedencia. Este tema afecta sobre todo a las grandes empresas, donde tenemos varios niveles de GPOs. Teniendo en cuenta que puede haber un GPO puede estar vinculada al sitio, dominio y unidades organizativas en AD, la precedencia se resume en LSDOU. La GPO Local tiene prioridad a los más débiles, le siguen las vinculadas al sitio, luego las asociadas al dominio, y luego las relacionadas con la OU son las de prioridad más alta.

Así, supongamos que tenemos una GPO vinculada al dominio que establece que no se puede ver el comando “ejecutar” en el menú Inicio (el comando “Run en Disabled”), donde otro GPO vinculado al nivel de unidad organizativa estableciendo el mismo comando “Run en Enabled”. La GPO vinculados a la unidad organizativa va a "ganar" y el usuario en la OU donde está vinculado el GPO tendrá la política comando Ejecutar Activado.

Esta preferencia se debe evaluar para cada configuración de GPO, ya que sólo puede haber un ajuste de lugar cuando se evalúan todos los GPO y la configuración. El comando RSOP.msc (Conjunto resultante de políticas) en el equipo de destino indicará qué configuración "ganó".

Otra cosa común es que no se verifique el Filtrado de seguridad de la GPO. Es decir, que la política creada aplica a otro grupo de usuarios en el que no se encuentra nuestro equipo/usuario. Recordemos que cada GPO tiene su seguridad definida, a esto lo llamamos Filtrado de Seguridad. Esto no es otra cosa que una ACL la cual podemos customizar a nuestro gusto, y por ende podemos cometer errores en ella. No es difícil de utilizar, ya que en definitiva es aplicar permisos, pero suele ser otro error.

www.radians.com.ar © 2013

Otra cosa común es que las políticas se encuentran en modo “Enforced”. Por defecto todas los GPO que se configuran no tiene ningún tipo de filtrado de seguridad, no se encuentran en modo Enforced, no tienen bloqueo de herencia, o alguna otra configuración restrictiva. El tema es que usualmente los administradores ponemos la GPO en modo Enforced, con esta opción logramos que la GPO y todas sus configuraciones se imponga frente a otra GPO en el caso de haber un conflicto.

www.radians.com.ar © 2013

Es importante entender que funciona la herencia de GPO con LSDOU (local, sitio, dominio, unidad organizativa). Una vez que configuramos “No override” en un GPO, este concepto de precedencia es negado. Entonces el Enforced establece que el GPO en cuestión no puede ser reemplazado por cualquier otro GPO.

Espero que les sea de interés esta nota. Saludos, Roberto Di Lello.

En 2014 debido a nuevas disposiciones de la ley Argentina debo afrontar distintos gastos para mantener el blog en funcionamiento. Si te parecio util la informacion del blog hace click en el boton "DONATE" o Ayudar al Blog - DONAR Si te ha gustado este post, por favor considera Dejar un Comentario o Suscribirse a este sitio por medio de RSS para tener los futuros artículos desarrollados en su lector de feeds.

16 Comentarios to “Windows Server: Politicas de Grupo, troubleshooting en nuestra arquitectura de Directory Services {HowTo}”

  1. Hola y buenas tardes Roberto:

    Muchas gracias por contestarme, desafortunadamente no pude encontrar por mi cuenta la forma de hacer dicha migración, de hecho me dice que es fácil realizarlo pero como es un servidor activo, no me atrevía a realizarlo sin antes montar un laboratorio, en donde no tuve gran éxito, sin embargo tuve que contratar a una persona para que me pudiera hacer el trabajo del cual no se salió nada barato, sin embargo por otro tipo de proyectos el servidor esta a “medio entregar” espero me puedas ayudar ya sea con un cookbook o algo similar que indique como realizarlo paso por paso, te agradecería tu ayuda si es que existe esto que te pido, o e tal caso, me recomiendas algún libro que hable exactamente de estos puntos que te comento?

    Sin mas por el momento agradezco tu ayuda y también te quisiera felicitar por tu blog ya que esta genial y contiene bastante información relacionada a todos estos puntos.

    Saludos cordiales desde México.

    Erick V.

  2. Erick Vazquez, una lastima… si no hay problema, la proxima cuando es un tema si muy puntual y urgente puedes escribirme por twitter para avisarme que me enviaste un mail. La proxima tambien cuenta conmigo si es que necesitas contratar un consultor freelance.

    Muchas gracias por tus elogios, ayudan a seguir adelante en esta ardua tarea.
    Saludos y gracias!

  3. HOLA Radians, mira lo que sucede es que como te comente es una cadeana de boticas de una sucursal y 8 boticasl alrededor tiene 3 años de creada , pero yo he trabajado en sopporte tecnico en inkafarma hace un año, lo cual me dedicadba al cableado de redes y mantenimiento de equipos de cimputo, he estudiado en un instituto computacion e informatica, y llevo el 3 ciclo en la universidad. Pero como podras comprender me han dicho que implemente mis servidores de dominio,correo,archivos,web. se que hay muchos manuales pero quiero tener el diseño o como debo presentar un plande trabajo al area de gerencia ya que me estan presionando y desean ver resultados como comprenderas los cursos son muy caros y me gustaria que me ayudaras, y asi yo poder ayudarte tambien en lo que pueda. el otro te,a es hacer un vpn cero costo no se si eso sera posible, espero tu appoyo .
    soy de lima peru, muchas gracias por tomar en cuenta mi pedido de auxilio.
    y si me mandas tu correo para poder escribirte de mi gmail mas facilmente porfavor

    enny infante guevara

  4. Hola Roberto,

    Gracias por ayudarme a saber cuales son mis errores, realice unas modificaciones en el registro para solucionar este problema y me funciono de maravilla. Desde el Dominio con 2008, espero y me pudas apoyar con otro gran problema que ocurrio el fin de semana, se rompieron el lazo de confianza entre mi dominio, te comento tengo 3 dominio palacio.com, latino.palacio.com, dgo.palacio.com, el cual palacio.com si puede visualizar a dgo.palacio.com pero latino.palacio.com no se ve por ninguno de los otros dos, te comento que ya se tenia trabajando asi desde hace 4 años y este fin de semana se compio ese lazo sabras como volver a reparara este lazo de confianza entre servidores ya que trabajamos con equipos emc para el uso de carpetas y respaldos y ya no se pueden visualizar o bien arreglar todas las relaciones de confianza de los tres sitios, espero y me puedas ayudar

    tambien te comento que estos tres sitios ultimos trabajan sobre windows server 2003

    Gracias. Francisco Arango

  5. Enny, no hay problema. Aqui tienes mi email, te lo he pasado en varias oportunidades. Lo de la VPN no hay problema, incluso en el blog hay un monton de material al respecto, de como hacerlo paso a paso. Por lo que me indicas no tengo problema en ayudarte en medida de mis posibilidades, entiende que lo que me estas pidiendo es directamente un proyecto entero; en cuyo caso yo deberia saber un monton de cosas de tu arquitectura para hacerlo bien.

    Yo te puedo dar los lineamientos basicos como para que ustedes lo vayan implementando, pero no puedo meterme de lleno en tu arquitectura ya que no la conozco. Ahora, si quieres podriamos ver de cotizar el proyecto entero en cuyo caso si podre dedicarte el 100% de mi tiempo, ya que seria parte de mi trabajo. Espero sepas entender, cualquier cosa estoy a tu disposicion.

    Saludos.

  6. Hola Francisco Arango, muchas gracias por comentar y participar. Disculpa mi demora en contestar pero estoy poniendome al dia con todos los mails y consultas via Web que tengo pendientes.

    Respecto a tu pregunta, no se bien a que te refieres. La relacion de confianza entre tu dominio principal y tus child domains? Lo que creo que te esta pasando es un tema serio de los dns de tu dominio parent, hay que ver que paso en el medio. El upgrade a windows Server 2008 fue parte de este dominio??? despues de eso te dejo de funcionar? revisaste los eventos del dominio parent y de los child? hay algun evento? (seguramente si). Por otro lado, la replicacion como esta? hiciste algun repadmin como para ver que pasa? seguramente te esta fallando y dando un monton de errores.

    Te paso una nota que por ahi te puede servir: Child domain problem http://social.technet.microsoft.com/Forums/windowsserver/en-US/d9a5f752-65da-464e-a914-b3514c88754f/child-domain-problem Cualquier cosa avisame a ver como sigue el tema y vemos de darle curso.

    Aprovecho la oportunidad para agradecerte por participar del blog y ayudar a que siga creciendo! Te pido que difundas la direccion del mismo asi podeos llegar a mas gente. Te cuento que hay mucho material en el. Te invito a que veas los labs, videos, tutoriales, notas. Si querés buscar un tema o necesitas ayuda, tenés la solapa AYUDA donde explico un poco como hacerlo, sino también tenés el buscador de google.

    Best Regards | Saludos

  7. RaDians.com.ar » Windows Server: Politicas de Grupo, troubleshooting en nuestra arquitectura de Directory Services {HowTo} , es genial, desde que os recibo no puedo parar de mirar todas vuestras sugerencias y me alegra cuando recibo uno más, sois lo mejor en español, me encata vuestra presentación y el curre que hay detrás. Un beso y abrazo,GRACIAS POR VUESTRO TRABAJO, nos alegrais la vida.

  8. He estado buscando un poco por artículos de alta calidad o entradas en blogs sobre estos contenidos. Explorando en Google por fin encontré este blog. Con lectura de esta articulo, estoy convencido que he encontrado lo que estaba buscando o al menos tengo esa extraña sensacion, he descubierto exactamente lo que necesitaba. ¡Por supuesto voy hacer que no se olvide este sitio web y recomendarlo, os pienso visitar regularmente.

    Saludos

  9. RaDians.com.ar » Windows Server: Politicas de Grupo, troubleshooting en nuestra arquitectura de Directory Services {HowTo} , es interesante, desde que os recibo no puedo parar de mirar todas vuestras sugerencias y me alegra cuando recibo uno más, sois lo mejor en español, me encata vuestra presentación y el curre que hay detrás. Un beso y abrazo,GRACIAS POR VUESTRO TRABAJO, nos alegrais la vida.

  10. RaDians.com.ar » Windows Server: Politicas de Grupo, troubleshooting en nuestra arquitectura de Directory Services {HowTo}, me ha parecido muy genail, me hubiera gustado que fuese más extenso pero ya saeis si lo bueno es breve es dos veces bueno. Enhorabuena por vuestra web. Besotes.

  11. “this is very interesting. thanks for that. we need more sites like this. i commend you on your great content and excellent topic choices.”

  12. Miguel Zaplana, muchas gracias por comentar y participar. Disculpa mi demora en contestar pero estoy poniendome al dia con todos los mails y consultas via Web que tengo pendientes.

    Aprovecho la oportunidad para agradecerte por participar del blog y ayudar a que siga creciendo! Te pido que difundas la direccion del blog y my Twitter @RaDiansBlog asi podemos llegar a mas gente. Te cuento que hay mucho material en el. Te invito a que veas los labs, videos, tutoriales, notas. Si querés buscar un tema o necesitas ayuda, tenés la solapa AYUDA donde explico un poco como hacerlo, sino también tenés el buscador de google.

    Saludos y gracias!

  13. Lewis, thank you very much for commenting and participating. Sorry for my delay in answering but I’m catching up on all emails and inquiries via web I have pending.

    I want to take this opportunity to thank you for participating in the blog and help it continue to grow! I ask you to spread the address of the blog and my Twitter @RaDiansBlog so we can reach more people. I tell you that there is much material in the. I invite you to see the labs, videos, tutorials, notes. If you want to find a topic or need help, you have the HELP tab where I explain a little like it, but you also have the google search engine.

    Greetings and thanks!

  14. Vanesa Arraiz, muchas gracias por comentar y participar. Disculpa mi demora en contestar pero estoy poniendome al dia con todos los mails y consultas via Web que tengo pendientes.

    Aprovecho la oportunidad para agradecerte por participar del blog y ayudar a que siga creciendo! Te pido que difundas la direccion del blog y my Twitter @RaDiansBlog asi podemos llegar a mas gente. Te cuento que hay mucho material en el. Te invito a que veas los labs, videos, tutoriales, notas. Si querés buscar un tema o necesitas ayuda, tenés la solapa AYUDA donde explico un poco como hacerlo, sino también tenés el buscador de google.

    Saludos y gracias!

  15. enny infante Guevara, ya estamos hablando por mail.
    Aprovecho la oportunidad para agradecerte por participar del blog y ayudar a que siga creciendo! Te pido que difundas la direccion del blog y my Twitter @RaDiansBlog asi podemos llegar a mas gente. Te cuento que hay mucho material en el. Te invito a que veas los labs, videos, tutoriales, notas. Si querés buscar un tema o necesitas ayuda, tenés la solapa AYUDA donde explico un poco como hacerlo, sino también tenés el buscador de google.

    Saludos y gracias!

  16. Juan Rodriguez, muchas gracias por comentar y participar.

    Aprovecho la oportunidad para agradecerte por participar del blog y ayudar a que siga creciendo! Te pido que difundas la direccion del blog y my Twitter @RaDiansBlog asi podemos llegar a mas gente. Te cuento que hay mucho material en el. Te invito a que veas los labs, videos, tutoriales, notas. Si querés buscar un tema o necesitas ayuda, tenés la solapa AYUDA donde explico un poco como hacerlo, sino también tenés el buscador de google.

    Saludos y gracias!

Dejar un comentario

« »