{"id":2138,"date":"2013-06-19T07:00:00","date_gmt":"2013-06-19T10:00:00","guid":{"rendered":"http:\/\/www.radians.com.ar\/blog\/?p=2138"},"modified":"2015-09-18T19:21:56","modified_gmt":"2015-09-18T22:21:56","slug":"windows-server-politicas-de-grupo-troubleshooting-en-nuestra-arquitectura-de-directory-services-howto","status":"publish","type":"post","link":"https:\/\/www.radians.com.ar\/blog\/?p=2138","title":{"rendered":"Windows Server: Politicas de Grupo, troubleshooting en nuestra arquitectura de Directory Services {HowTo}"},"content":{"rendered":"

\"GP001[1]\"<\/a>Ya hemos hablado en varias oportunidades sobre las Pol\u00edticas de Grupo (Group Policies), y de como nos ayudan al d\u00eda a d\u00eda para administrar y mantener nuestra arquitectura de Directory Services (Active Directory).<\/p>\n

Hoy vamos a ver algunas de las causas por las cuales puede fallar la aplicaci\u00f3n de una pol\u00edtica determinada, o por lo menos las causas mas comunes. Adem\u00e1s, les recomiendo realmente leer las otras notas en donde explico en mayor detalle que son las GPOs y como funcionan como para entender en mayor detalle esta nota.<\/p>\n

Algo que he visto en varios escenarios es un problema de DNS, recordemos que este servicio es critico para el correcto funcionamiento de nuestro Active Directory. Entonces si el equipo tiene mal configurado los DNS tendr\u00e1 problemas para autenticarse correctamente. Cuando el cliente recibe la configuraci\u00f3n de direcci\u00f3n IP del servicio DHCP, el cliente va al DNS para obtener una lista de controladores de dominio para el dominio. Tambi\u00e9n es a trav\u00e9s de los DNS que el cliente obtiene la informaci\u00f3n de Kerberos del dominio, principalmente el KDC (Kerberos Distribution Center). Por lo cual es recomendable verificar su configuraci\u00f3n y funcionamiento.<\/p>\n

Otra causa, generalmente es, que la configuraci\u00f3n de la pol\u00edtica esta definida para el tipo de objeto incorrecto. Cuando editamos una GPO hay dos secciones distintas para las que se pueden editar: Computer Configuration<\/font> y User Configuration<\/font>.<\/p>\n

\"www.radians.com.ar<\/a><\/p>\n

Recordemos, que los ajustes que se realicen en la \u201cConfiguraci\u00f3n del equipo<\/font>\u201d s\u00f3lo afectara a los objetos de equipo y los ajustes que se realicen en la secci\u00f3n \u201cConfiguraci\u00f3n de Usuario<\/font>\u201d afectaran solo a los objetos de usuario. Por ejemplo, si hacemos un cambio que afecte al men\u00fa Inicio (ubicado bajo la Configuraci\u00f3n de usuario), pero s\u00f3lo tenemos objetos de equipo bajo en la OU a la cual aplicamos la pol\u00edtica, el cambio no ser\u00e1 visto por cualquier usuario que inicie sesi\u00f3n. <\/p>\n

Relacionado con el ultimo ejemplo, otro error comun es que el objeto del usuario o del equipo no est\u00e1 en la unidad organizativa (OU) correcta. Esto suele pasar, que el administrador no se da cuenta y se aplica la GPO a una OU la cual contiene otro tipo de objetos o no se encuentra el objeto que se esta verificando.<\/p>\n

Otra cosa a verificar es que la Configuraci\u00f3n de la GPO no este siendo controlado por una GPO con mayor precedencia. Este tema afecta sobre todo a las grandes empresas, donde tenemos varios niveles de GPOs. Teniendo en cuenta que puede haber un GPO puede estar vinculada al sitio, dominio y unidades organizativas en AD, la precedencia se resume en LSDOU. La GPO Local tiene prioridad a los m\u00e1s d\u00e9biles, le siguen las vinculadas al sitio, luego las asociadas al dominio, y luego las relacionadas con la OU son las de prioridad m\u00e1s alta.<\/p>\n

As\u00ed, supongamos que tenemos una GPO vinculada al dominio que establece que no se puede ver el comando \u201cejecutar\u201d en el men\u00fa Inicio (el comando \u201cRun en Disabled\u201d), donde otro GPO vinculado al nivel de unidad organizativa estableciendo el mismo comando \u201cRun en Enabled\u201d. La GPO vinculados a la unidad organizativa va a "ganar" y el usuario en la OU donde est\u00e1 vinculado el GPO tendr\u00e1 la pol\u00edtica comando Ejecutar Activado.<\/p>\n

Esta preferencia se debe evaluar para cada configuraci\u00f3n de GPO, ya que s\u00f3lo puede haber un ajuste de lugar cuando se eval\u00faan todos los GPO y la configuraci\u00f3n. El comando RSOP.msc (Conjunto resultante de pol\u00edticas) en el equipo de destino indicar\u00e1 qu\u00e9 configuraci\u00f3n "gan\u00f3".<\/p>\n

Otra cosa com\u00fan es que no se verifique el Filtrado de seguridad de la GPO. Es decir, que la pol\u00edtica creada aplica a otro grupo de usuarios en el que no se encuentra nuestro equipo\/usuario. Recordemos que cada GPO tiene su seguridad definida, a esto lo llamamos Filtrado de Seguridad. Esto no es otra cosa que una ACL la cual podemos customizar a nuestro gusto, y por ende podemos cometer errores en ella. No es dif\u00edcil de utilizar, ya que en definitiva es aplicar permisos, pero suele ser otro error.<\/p>\n

\"www.radians.com.ar<\/a><\/p>\n

Otra cosa com\u00fan es que las pol\u00edticas se encuentran en modo \u201cEnforced\u201d. Por defecto todas los GPO que se configuran no tiene ning\u00fan tipo de filtrado de seguridad, no se encuentran en modo Enforced, no tienen bloqueo de herencia, o alguna otra configuraci\u00f3n restrictiva. El tema es que usualmente los administradores ponemos la GPO en modo Enforced, con esta opci\u00f3n logramos que la GPO y todas sus configuraciones se imponga frente a otra GPO en el caso de haber un conflicto. <\/p>\n

\"www.radians.com.ar<\/a><\/p>\n

Es importante entender que funciona la herencia de GPO con LSDOU (local, sitio, dominio, unidad organizativa). Una vez que configuramos \u201cNo override\u201d en un GPO, este concepto de precedencia es negado. Entonces el Enforced establece que el GPO en cuesti\u00f3n no puede ser reemplazado por cualquier otro GPO.<\/p>\n

Espero que les sea de inter\u00e9s esta nota. Saludos, Roberto Di Lello.<\/p>\n","protected":false},"excerpt":{"rendered":"

Ya hemos hablado en varias oportunidades sobre las Pol\u00edticas de Grupo (Group Policies), y de…<\/p>\n","protected":false},"author":1,"featured_media":4291,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_monsterinsights_skip_tracking":false,"_monsterinsights_sitenote_active":false,"_monsterinsights_sitenote_note":"","_monsterinsights_sitenote_category":0,"footnotes":""},"categories":[12,11,158],"tags":[226,215,236,194,195,243],"class_list":["post-2138","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-2003-r2","category-2008-r2","category-windows-server-2012","tag-group-policy","tag-sbs-howto","tag-troubleshooting","tag-windows-server-2003-r2","tag-windows-server-2008-r2","tag-windows-server-2012-r2"],"_links":{"self":[{"href":"https:\/\/www.radians.com.ar\/blog\/index.php?rest_route=\/wp\/v2\/posts\/2138","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.radians.com.ar\/blog\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.radians.com.ar\/blog\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.radians.com.ar\/blog\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.radians.com.ar\/blog\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=2138"}],"version-history":[{"count":1,"href":"https:\/\/www.radians.com.ar\/blog\/index.php?rest_route=\/wp\/v2\/posts\/2138\/revisions"}],"predecessor-version":[{"id":2925,"href":"https:\/\/www.radians.com.ar\/blog\/index.php?rest_route=\/wp\/v2\/posts\/2138\/revisions\/2925"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.radians.com.ar\/blog\/index.php?rest_route=\/wp\/v2\/media\/4291"}],"wp:attachment":[{"href":"https:\/\/www.radians.com.ar\/blog\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=2138"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.radians.com.ar\/blog\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=2138"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.radians.com.ar\/blog\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=2138"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}