En los últimos días he recibido varias consultas con un síntoma que aparentemente es extraño: algunas Directivas de Grupo (GPOs) que funcionaban perfectamente, dejaron de aplicarse
Son cosas que parecen raras, sólo algunas GPOs, y específicamente unas pocas, donde lo que tenían en común era que se había aplicado algún filtrado de seguridad, pero no en todas
Investigando y comentando con compañeros encontramos el motivo, todo fue provocado por una actualización de los sistemas operativos, todos desde Windows Vista hasta Windows Server 2012 R2
Todo se debe a la corrección de un fallo de seguridad que permite la elevación de privilegios en algunos casos
Sin entrar en detalles, ya que luego pondré los enlaces con la información completa, el cambio que hace esta actualización es el contexto de seguridad con el que se acceden a parte de las GPOs situada en la carpeta “Sysvol”
Históricamente el acceso a la carpeta “Sysvol” se hacía en el contexto de seguridad de la cuenta de usuario para leer las GPOs que corresponden aplicar al usuario
A partir de esta actualización, en cambio, la lectura de las GPOs se hace totalmente en el contexto de seguridad de la cuenta de máquina, tanto para las GPOs de máquinas como para las de usuarios
El cambio pueda pasar totalmente desapercibido si no se ha hecho filtrado de seguridad en la GPO, ya que por omisión “Authenticated Users” tiene permisos tanto de lectura como de aplicación de la GPO, y tanto las cuentas de usuario como las de máquina pertenecen a “Authenticated Users”
Pero el problema se produce si se ha configurado la GPO para que aplique a determinados grupos de usuarios, habiendo quitado a “Authenticated Users”. Antes no había problema porque las cuentas de máquina pertencen a “Authenticated Users” y también las cuentas de usuario
Este cambio hay que manejarlo adecuadamente para evitar el inconveniente modificando los permisos de la GPO. Para el que no recuerde el tema filtrado de seguridad de GPOs puede consultar la siguiente nota:
Directivas de Grupo (GPO) – Filtrado de Seguridad | WindowServer
https://windowserver.wordpress.com/2016/04/26/directivas-de-grupo-gpo-filtrado-de-seguridad/
Información completa de Microsoft sobre el tema (en inglés) la pueden encontrar en los siguentes enlaces
MS16-072: Security update for Group Policy: June 14, 2016
https://support.microsoft.com/en-us/kb/3163622
MS16-072: Description of the security update for Group Policy: June 14, 2016
https://support.microsoft.com/en-us/kb/3159398
Windows RT 8.1, Windows 8.1, and Windows Server 2012 R2 update: April 2014
https://support.microsoft.com/en-us/kb/2919355
Este cambio es importante tenerlo en cuenta si filtramos la aplicación de GPOs mediante permisos de seguridad
WindowServer 
Comentarios
Guillermo como estas
En ese caso como se puede resolver si tengo las GPO aplicadas por usuarios y no por equipos
Depende de la jerarquía de OUs que tengas habrá que separar a los usuarios en otra OU, cortar herencia, etc. todo dependerá de cada caso
Saludos: te cuento que me esta pasando un problema con las GPO en Windows Server 2008, pero estuve buscando las actualzaciones que mencionas y no las tengo instaladas. Tienes noción de que otra actualización me esté afectando? este es el link que publiqué en un foro de Microsoft con mi problema y no he recibido ayuda aún: https://social.technet.microsoft.com/Forums/windowsserver/es-ES/ef0ed74f-58fd-4497-be73-9b64f0910718/no-me-funcionan-algunas-directivas-de-grupo-y-no-se-dejan-modificar?forum=wsgpes
Hola Dairo, he visto el post pero no he respondido porque realmente no sé qué es lo que está sucediendo
Por los mensajes de error da para pensar que puede venir por los archivos ADM que son los que manejan la parte de «Administrative Templates», y que los de W10 puedan haber reemplazado a los originales
Para confirmarlo habría que probar en un ambiente de laboratorio si esto es así
Por otro lado SBS tiene configuraciones especiales, no es un sistema operativo sobre el que tenga experiencia
Yo lo que haría sería recuperar desde una copia de seguridad del servidor
Hola Guillermo: De antemano, gracias por responder. Quiero agregar, como dice en el post, el problema no es solo en Windows 10 sino también en Windows 7 (todos los PC conectados al dominio). He descartado lo de restaurar el sistema a una fecha anterior porque no se desde cuando se presentó este problema, así que no tengo una fecha definida desde la cual restaurar. Tampoco puedo hacer pruebas en este servidor porque es el AD de la empresa donde laboro. Me temo también que ese problema haya surgido solo en SBS porque a nadie más he leído que le haya pasado esto. Afortunadamente son solo diretivas de personalización y no me ha afectado otras de seguridad. Os dejo la inquietud por si se les ocurre alguna idea de como me pueden ayudar con esto.
Hola Dairo, no es un problema de Windows 10, no puse eso :)
Es para todas las versiones de sistema operativo que tengo aplicada la actualización, que supongo que serán todos los soportados actualmente, o sea desde W8 en adelante
Si miras la nota tienes la fecha y obtienes hasta el número de la actualización para eventualmente poder desinstalarla
Hola Guillermo. Leyendo los link que publicaste, logré arreglarlo para que se aplicaran todas las directivas que tengo configuradas, aplicando esto:
Resolution
To resolve this issue, use the Group Policy Management Console (GPMC.MSC) and follow one of the following steps:
•Add the Authenticated Users group with Read Permissions on the Group Policy Object (GPO).
•If you are using security filtering, add the Domain Computers group with read permission.
(Antes de esto, no funcionaban las directivas de personalización)
Sin embargo, aún no me deja modificar ninguna de las GPO. Me sigue generando el mismo error.
Seguiré buscando la solución a ello.
Muchas gracias por su ayuda.
Hola Dairo, si no te deja modificar una GPO es porque está faltando permiso sobre la GPO, revisa que tengas permiso de escritura
No puedo usar estos comentarios para soporte, si con lo anterior no solucionas pon la pregunta en un foro de soporte, por ejemplo los de Techent en https://social.technet.microsoft.com/Forums/es-ES/home
Buenas. Tienes algún post en el blog donde expliques como migrar todas las GPO’s de un dominio a otro, teniendo que usar una tabla de migración y que sea mas o menos automatico? El modo manual de ir creando una a una las GPO’s e ir creando poco a poco la tabla de migración la se, pero tengo que mirar de un dominio a otro mas de 70 GPO’s
Gracias
Hola Adolfo, para migrar GPOs entre Dominios la opción, es con «Backup» de la GPO, y «Restore» de la GPO. En la consola están ambas opciones, y ya pasas toda la GPO, mucho más rápido
El tema de las tablas de migración es necesario cuando las GPOs hacen referencia a grupos, pero creo que en ningún otro caso, así que si debes usarla o no dependerá del ambiente
No no he hecho ningún post con el tema de las tablas de migración, ni tampoco con migración
Ok. Era por si conocías el tema y me sabias orientar.
Tengo que pasar más de 70 Gpo’s entre dominios y algunas de ellas contienen valores que hacen referencia a usuarios y grupos de un dominio que no existen en el otro y quería saber si hay alguna forma más o menos automática de pasarlas teniendo que usar la tabla de migracion. He visto por ahí algún script en powershell que voy a investigar
Graciss
Hola Adolfo, no lo he hecho porque convengamos no es una situación muy habitual :)
No creo que exista algo para hacer equivalencia automática, pero con buscar no se pierde nada