Directivas de Grupo (GPO) – Filtrado de Seguridad

En la nota anterior “Directivas de Grupo (GPO) – Herencia, Forzar y Resolución de Conflictos” hemos visto algunas opciones que disponemos para aplicar las configuraciones de una GPO, ya sea en la forma normal, cortando la herencia o forzando la aplicación, como así también cómo se resuelven los conflictos de configuraciones entre diferentes GPOs aplicadas

En esta nota veremos otra opción que nos pemite seleccionar a qué usuario o grupo de usuarios aplicar o no una Directiva de Grupo (GPO)

La aplicación de Directivas de Grupo a grupos de seguridad de Active Directory ha resultado muy confusa para los que hablamos español, ya que la traducción de “Group Policy Object” a “Objeto Directiva de Grupo” a mi entender no es correcta

Cualquiera que tenga nociones básicas de inglés no debería tener dudas en cuanto a la traducción de los tres términos (“Group Policy Object”), pero el problema es que de acuerdo al ordenamiento de estas palabras su significado puede ser diferente

Está traducido oficialmente como “Objeto Directiva de Grupo” por lo cual muchos han interpretado, erróneamente, que se aplican a Grupos, y en realidad aunque se pueda hacer, no es de la forma natural e intuitiva

Una mejor traducción creo que hubiera sido “Objeto Conjuto de Directivas” u “Objeto Conjunto de Configuraciones”

Porque para que una GPO se aplique a usuarios o máquinas hay que enlazarla a Sitios, Dominios o Unidades Organizativas que afecte a las cuentas, no a los grupos

Pero de todas formas, y con un poco de habilidad y configuración, como podremos ver en esta nota, se puede lograr que una GPO se aplique a todas las cuentas salvo excepciones, o a la inversa, que se aplique sólo a determinadas cuentas

Lo importante a tener en cuenta es que la GPO se aplique al contenedor donde están las cuentas, luego tenemos dos opciones

  • Denegar que a un usuario o grupo le aplique la GPO
  • Permitir que se aplique a un usuario o grupo, y no a todos los afectados por la GO

La infraestructura que utilizaré en esta nota, es la misma que estoy usando desde la nota anterior “Directivas de Grupo (GPO) – Herencia, Forzar y Resolución de Conflictos

Como primera configuración para esta nota, y preparar lo que necesitamos ahora, debemos eliminar la GPO llamada “ActivarPanelControl” que creamos en la nota anterior

 

Exceptuar a una cuenta o grupo de aplicación de una GPO

Para esto vamos a trabajar sobre la GPO “QuitarPanelControl” que está enlazada a la Unidad Organizativa “Usuarios1” como quedó de la nota anterior

Para que una GPO se aplique a una cuenta, esta cuenta debe tener permisos sobre la GPO, y hay dos permisos que controlan esto:

  • “Read” (Lectura): que la cuenta pueda leer la configuración de la GPO
  • “Apply Group Policy” (Aplicar Directiva de Grupo)

Debemos recordar que cada permiso tiene las opciones “Allow” (Permitir), o “Deny” (Denegar), y esta última siempre prevalece

Por lo tanto si a todo un conjunto de usuarios se le está aplicando una GPO (“Allow”) pero uno además tiene denegación (“Deny”), esta última prevalecerá, y por lo tanto quedará exceptuado

En esta nota por simplicidad lo haré directamente con cuentas de usuario, pero como siempre lo recomendable es usar para permisos los grupos de seguridad

Por lo que hemos dicho, si queremos exceptuar a “Usuario Uno” de la aplicación de la GPO, simplemente deberíamos denegarle el permiso “Apply Group Policy”

La aplicación se debe a que por omisión este permiso de “Apply Group Policy lo tiene el grupo “Authenticated Users” (Usuarios Autentificados) y todos los usuarios y máquinas pertenecen a este grupo especial

Debemos acceder a la ficha “Delegation” de la GPO y agregar la cuenta o grupo al cual le denegaremos el permiso

No preocuparse por ahora, dejar por omisión

Ahora sí, vamos a agregar el permiso necesario de denegación

Observen que queda como permiso “Custom”

Si vamos a CL1, donde está “Usuario Uno” con sesión iniciada y actualizamos las GPOs (GPUPDATE.EXE), ya está exceptuado y puede acceder al Panel de Control

En cambio en CL2 donde está “User Dos” la GPO se sigue aplicando

Eliminemos el permiso de “User Uno” de la GPO que recién hemos hecho y dejemos todo “limpio” así pasamos a la segunda parte

 

Aplicar una GPO solamente a un grupo determinado

Como en este caso se la aplicaremos a grupo de seguridad, en este caso crearé un grupo que yo he llamado “Grupo2”, y que contiene la cuenta de “User Uno”. Yo la he creado en la Unidad Organizativa “Usuarios1”, pero podría estar creado el grupo en cualquiera de los contenedores del Dominio, es totalmente indistinto

Lo que debemos hacer en este caso, es darle al grupo creado los permisos de Lectura (“Read”) y Aplicar GPO (“Apply Group Policy”) para que se aplique, y quitar al grupo “Authenticated Users” (Usuarios Autentificados) para que no se aplique a todos. Aclaración, debemos quitar, y no denegar, ya que si lo hiciéramos esta denegación tendría prioridad sobre el permitido

Agregamos al grupo

Y vamos a modificar los permisos

Y finalmente eliminamos de los permisos a “Authenticated Users” (Usuarios Autentificados)

En CL1 debemos cerrar y volver a abrir sesión con “User Uno” para que se actualicen sus credenciales de acceso (“Access Token”) con la nueva membresía en “Grupo2

Esto lo podemos verificar con el comando “WHOAMI /GROUPS”. Y por supuesto además forzando la actualización de GPOs

Como podemos comprobar, a “User Uno” que pertenece al “Grupo2” le está aplicando la configuración

En cambio, repitiendo el mismo procedimiento en CL2, con “User Dos” no le está aplicando la configuración, pues este usuario no es miembro de “Grupo2”

En cada uno de los clientes podemos verificar la membresía en grupos y las GPOs que se están aplicando utilizando el comando GPRESULT /R

Dejaré este tema acá. En estas dos notas hemos visto las formas más comunes para configurar la aplicación de GPOs a usuarios, y que serán útiles en la amplia mayoría de los casos, pero no son las únicas opciones, hay dos más

La aplicación de GPOs también se puede configurar a través de filtros WMI, generalmente basados en la configuración hardware del equipo, y actualmente casi totalmente reemplazados mediante “Preferences”, y también y especialmente para servidores de Escritorio Remoto con “Loopback Processing Mode” (Procesamiento de Bucle Invertido)

Esta última opción la he desarrollado e implementado en la nota: “Remote Desktop – Escritorio Remoto: Limitando a los Usuarios con Directivas de Grupo (Group Policies – GPOs)

Anuncios
Post a comment or leave a trackback: Trackback URL.

Comentarios

  • Jorge  On 27/04/2016 at 00:56

    Excelente Guillermo! Te hago una consulta, en mi laburo tengo un dominio en win server 2012 y hay un par de usuarios que usan SIAP (el programa de la afip) instalado en sus PC con win 8,1, el problema es que un aplicativo de este programa no graba los datos si no se ejecuta el mismo como Administrador, y la verdad que no me hace gracia darles esos atributos a estos dos usuarios pero por el momento no encontré otra solucion. Hay alguna forma de corregir esto elevando permisos al software en vez de a los usuarios? Desde ya agradezco tu tiempo.

    • Guillermo Delprato  On 27/04/2016 at 06:51

      Hola Jorge, no que yo sepa, pero ¿haz pensado en una máquina virtual?

      • Jorge  On 27/04/2016 at 22:55

        Nunca probé, medio que descartando la idea por el hecho de que ese programa específicamente está muy mal diseñado, pero no me cuesta nada voy a probar por ese lado. Muchas gracias

      • Guillermo Delprato  On 28/04/2016 at 06:23

        Hola Jorge, sí, es así, a todos les da “dolores de cabeza” :)

  • ADOLFO ORTIZ MALAINA  On 29/04/2016 at 14:36

    Increiblemente util, como siempre!!!
    Una pregunta a ver si sabes por donde puedo tirar.
    En mi trabajo hay unas GPO’s que aplican que son muy restrictivas y que tienen que ser asi por motivos de seguridad (organismo publico), pero sobre esas GPO’s podemos desarrollar otras GPO’s para que las cosas funcionen “medio normal”.
    Esta ultima semana hemos tenido que aplicar una nueva GPO muy restrictiva sobre Internet Explorer 11 que hace que (entre otras cosas) cada vez que quieran abrir un programa de lo que sea (.exe, .bat, .msc, …) salga un mensaje indicando que no es un editor confiable y o aceptas o cancelas, pero es un mensaje muy molesto.
    Mi pregunta es, sobre esas GPO’s es, hay alguna manera de trabajar para hacer que las cosas funcionen que sea facil de hacer o hay que ir elemento a elemento de la GPO para ver que hace cada una de ellas y “DESCUBRIR” cual hace que me falle el sistema?
    Gracias

    • Guillermo Delprato  On 29/04/2016 at 15:44

      Hola Adolfo, no sé si vas a poder. Si el que hace la GPO de “más arriba” sabe lo que hace no hay forma de evitarla :)
      De todas formas revisa el enlace que pongo abajo a ver si se puede hacer algo, ya que permite agregar archivos a las zonas de confianza
      http://blog.asirsl.com/Lists/EntradasDeBlog/Post.aspx?ID=356

      • ADOLFO ORTIZ MALAINA  On 30/04/2016 at 03:49

        Pero si yo aplico mi GPO despues de la suya cambiando alguno de los valores que me afectan al funcionamiento? Me temo que la solucion sera ir probando uno a uno los mas de 120 valores que toca la GPO impuesta e ir creandome una para que se ejecute despues. Como lo ves?
        Gracias

      • Guillermo Delprato  On 30/04/2016 at 06:12

        Hola Adolfo, los valores que prevalecen son los de la última GPO, salvo que el enlace de las GPOs superiores estén forzados
        Por eso en el comentario anterior puse si el que configura la de “más arriba” sabe lo que hace

  • Fernando Arbach  On 30/04/2016 at 12:54

    Guillermo, como estas?
    Antes que nada felicitaciones por el BLOG es realmente EXCELENTE!
    Te hago una consulta… tengo actualmente 2 sitios, usando tu tutorial y anda perfecto, el problema es que quiero hacer que una GPO se aplique según el sitio en que estés… es posible esto? Es para redirigir al proxy que corresponda. Gracias!!!!

    • Guillermo Delprato  On 02/05/2016 at 07:48

      Hola Fernando ¡Gracias por el comentario! :)
      Sí, se pueden enlazar GPOs a Sitios, lo que pasa es que está “medio oculto” :)
      En la consola de administración de GPOs, botón derecho sobre “Sitios” / Mostrar Sitios”, seleccionas, y luego puedes enlazarle GPOs

  • Adolfo Ortiz  On 30/04/2016 at 14:22

    Pero la GPO la pongo yo. Es decir, a mi me la dan hecha y la tengo que poner, pero por encima puedo crear una que machaque algún valor para que los equipos me funciones. La pregunta es si la forma de hacerlo es uno por uno cambiando los valores o hay alguna otra manera de hacerl0
    gracias

    LA GPO viene impuesta, pero puede ser modificada con valores que haga que los equipos funcionen mejor. PAra ello se puede crear una nueva GPO se se aplique después de la restrictiva para hacer que las cosas funcionen. Pero mi pregunta es si hay alguna manera rápida de hacerlo, o hay que ir probando uno a uno los valores que son modificados en la GPO impuesta.
    Gracias de nuevo

    Entiendo lo que me dices, pero la GPO impuesta puede (esta permitido) ser modificada con GPO’s que se apliquen después siempre que quede documentada la necesidad del cambio. Mi pregunta es si hay alguna forma rápida de dejar que el equipo funcione correctamente o tengo que ir valor por valor probando la manera de dejar que el equipo funcione bien
    Gracias de nuevo

    • Guillermo Delprato  On 02/05/2016 at 07:55

      Hola Adolfo, unifiqué tus 3 comentarios
      Aunque el ejemplo que desarrollé tiene una única configuración para que sea claro el objetivo, es sabido que cada GPO puede tener múltiples configuraciones
      Cuál configuración prevalece, o cómo se puede forzar determinadas configuraciones, está explicado en las dos notas entiendo que claramente, e inclusive con un ejemplo en cada caso. Te recomiendo vuelvas a leer las dos notas si tienes dudas
      O si es para un caso concreto puedes poner la pregunta en algún foro de soporte, por ejemplo los de Technet https://social.technet.microsoft.com/Forums/es-ES/home

  • agrvblog  On 07/12/2016 at 22:39

    Hola Guillermo, buen día .
    antes que nada, te felicito ya que esta muy buena tu pagina y se entiende perfectamente.

    a continuación expongo mi caso.

    tengo una política para aplicar algunos links en Favoritos de IE11 el detalle esta en que cuando la aplico a 1 usuario y validar en la pc cliente, no aplica la GPO pero si agrego la pc donde se esta firmando el usuario en este momento actualizo politicas en el cliente y de esta forma si aplica. curiosamente dos políticas que han tenido que ver con IE11 borrado de cookies y links de favoritos no aplican si solo agrego al usuario, si agrego al usuario y la pc donde se firma si aplican.

    cabe señalar que ambas políticas la configuración ha sido por usuario.

    • Guillermo Delprato  On 08/12/2016 at 07:02

      Me alegro te sirva el blog y ayude a comprender
      Pero esto no es un foro de soporte, sólo oriento cuando puedo. En lo que planteas no logro entender la estructura que tienes ni dónde aplica la GPO
      Te sugiero recurras a un foro de soporte, por ejemplo los de Technet en https://social.technet.microsoft.com/Forums/es-ES/home y trata de dar detalles para que se pueda comprender dónde enlazas la GPO, dónde están las cuentas de máquina y usuario, etc. etc.

  • Luis  On 17/05/2017 at 04:39

    Hola Guillermo,

    Excelente blog, pero justo este articulo que estoy interesado no se ven las imágenes. Lo he intentado con dos navegadores, pero sigue sin verse.

    ¿Puedes hacer algo para que se vean?

    Saludos.

    Luis Guerra

    • Guillermo Delprato  On 17/05/2017 at 06:52

      Hola Luis, tienes razón, ya me pongo a ver el tema. Desde la máquina donde lo publiqué se ven perfectamente, pero desde otra no

    • Guillermo Delprato  On 17/05/2017 at 07:10

      Hola Luis, creo que ya está arreglado, se deberían ver las imágenes
      Si no las puedes ver, lo mismo si le sucede a otra persona, por favor avísenme
      Gracias

      • Luis  On 17/05/2017 at 09:07

        Hola Guillermo,

        No, siguen sin poderse ver las imágenes. He probado en otro ordenador y lo mismo, no se pueden ver.

        Saludos.

      • Guillermo Delprato  On 17/05/2017 at 10:59

        Es raro, porque yo lo probé desde otras dos máquinas, y con dos exploradores diferentes y ahora las veo perfectamente
        Voy a esperar si a otro le sucede lo mismo ¿no tendrás algún filtrado en el cortafuegos? porque las imágenes no están almacenadas en WordPress

      • Luis  On 18/05/2017 at 04:00

        Hola Guillermo,

        No, no tengo ningún filtrado en el cortafuegos de ese tipo. Bueno esperaré a ver si alguien le pasa lo mismo.

        Gracias Guillermo

        Saludos.

      • Guillermo Delprato  On 18/05/2017 at 06:42

        Hola Luis, es algo raro lo que te sucede, lo he visto alguna vez cuando hay problemas con la conectividad, generalmente con poco ancho de banda ¿lo has podido probar desde otra máquina o conexión? porque yo lo he probado desde tres máquinas diferentes y con dos exploradores diferentes y veo las capturas. Y por otra parte nadie más ha avisado del problema
        Si necesitas algún detalle que no puedes “adivinar” avisa, que te envío la información aunque sea por correo

Trackbacks

Este espacio es para comentarios sobre la nota. No es un sitio de soporte

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: