En la nota anterior “Directivas de Grupo (GPO) – Herencia, Forzar y Resolución de Conflictos” hemos visto algunas opciones que disponemos para aplicar las configuraciones de una GPO, ya sea en la forma normal, cortando la herencia o forzando la aplicación, como así también cómo se resuelven los conflictos de configuraciones entre diferentes GPOs aplicadas
En esta nota veremos otra opción que nos pemite seleccionar a qué usuario o grupo de usuarios aplicar o no una Directiva de Grupo (GPO)
La aplicación de Directivas de Grupo a grupos de seguridad de Active Directory ha resultado muy confusa para los que hablamos español, ya que la traducción de “Group Policy Object” a “Objeto Directiva de Grupo” a mi entender no es correcta
Cualquiera que tenga nociones básicas de inglés no debería tener dudas en cuanto a la traducción de los tres términos (“Group Policy Object”), pero el problema es que de acuerdo al ordenamiento de estas palabras su significado puede ser diferente
Está traducido oficialmente como “Objeto Directiva de Grupo” por lo cual muchos han interpretado, erróneamente, que se aplican a Grupos, y en realidad aunque se pueda hacer, no es de la forma natural e intuitiva
Una mejor traducción creo que hubiera sido “Objeto Conjuto de Directivas” u “Objeto Conjunto de Configuraciones”
Porque para que una GPO se aplique a usuarios o máquinas hay que enlazarla a Sitios, Dominios o Unidades Organizativas que afecte a las cuentas, no a los grupos
Pero de todas formas, y con un poco de habilidad y configuración, como podremos ver en esta nota, se puede lograr que una GPO se aplique a todas las cuentas salvo excepciones, o a la inversa, que se aplique sólo a determinadas cuentas
Lo importante a tener en cuenta es que la GPO se aplique al contenedor donde están las cuentas, luego tenemos dos opciones
- Denegar que a un usuario o grupo le aplique la GPO
- Permitir que se aplique a un usuario o grupo, y no a todos los afectados por la GO
La infraestructura que utilizaré en esta nota, es la misma que estoy usando desde la nota anterior «Directivas de Grupo (GPO) – Herencia, Forzar y Resolución de Conflictos”
Como primera configuración para esta nota, y preparar lo que necesitamos ahora, debemos eliminar la GPO llamada “ActivarPanelControl” que creamos en la nota anterior
Exceptuar a una cuenta o grupo de aplicación de una GPO
Para esto vamos a trabajar sobre la GPO “QuitarPanelControl” que está enlazada a la Unidad Organizativa “Usuarios1” como quedó de la nota anterior
Para que una GPO se aplique a una cuenta, esta cuenta debe tener permisos sobre la GPO, y hay dos permisos que controlan esto:
- “Read” (Lectura): que la cuenta pueda leer la configuración de la GPO
- “Apply Group Policy” (Aplicar Directiva de Grupo)
Debemos recordar que cada permiso tiene las opciones “Allow” (Permitir), o “Deny” (Denegar), y esta última siempre prevalece
Por lo tanto si a todo un conjunto de usuarios se le está aplicando una GPO (“Allow”) pero uno además tiene denegación (“Deny”), esta última prevalecerá, y por lo tanto quedará exceptuado
En esta nota por simplicidad lo haré directamente con cuentas de usuario, pero como siempre lo recomendable es usar para permisos los grupos de seguridad
Por lo que hemos dicho, si queremos exceptuar a “Usuario Uno” de la aplicación de la GPO, simplemente deberíamos denegarle el permiso “Apply Group Policy”
La aplicación se debe a que por omisión este permiso de “Apply Group Policy lo tiene el grupo “Authenticated Users” (Usuarios Autentificados) y todos los usuarios y máquinas pertenecen a este grupo especial
Debemos acceder a la ficha “Delegation” de la GPO y agregar la cuenta o grupo al cual le denegaremos el permiso
No preocuparse por ahora, dejar por omisión
Ahora sí, vamos a agregar el permiso necesario de denegación
Observen que queda como permiso “Custom”
Si vamos a CL1, donde está “Usuario Uno” con sesión iniciada y actualizamos las GPOs (GPUPDATE.EXE), ya está exceptuado y puede acceder al Panel de Control
En cambio en CL2 donde está “User Dos” la GPO se sigue aplicando
Eliminemos el permiso de “User Uno” de la GPO que recién hemos hecho y dejemos todo “limpio” así pasamos a la segunda parte
Aplicar una GPO solamente a un grupo determinado
Como en este caso se la aplicaremos a grupo de seguridad, en este caso crearé un grupo que yo he llamado “Grupo2”, y que contiene la cuenta de “User Uno”. Yo la he creado en la Unidad Organizativa “Usuarios1”, pero podría estar creado el grupo en cualquiera de los contenedores del Dominio, es totalmente indistinto
Lo que debemos hacer en este caso, es darle al grupo creado los permisos de Lectura (“Read”) y Aplicar GPO (“Apply Group Policy”) para que se aplique, y quitar al grupo “Authenticated Users” (Usuarios Autentificados) para que no se aplique a todos. Aclaración, debemos quitar, y no denegar, ya que si lo hiciéramos esta denegación tendría prioridad sobre el permitido
Agregamos al grupo
Y vamos a modificar los permisos
Y finalmente eliminamos de los permisos a “Authenticated Users” (Usuarios Autentificados)
En CL1 debemos cerrar y volver a abrir sesión con “User Uno” para que se actualicen sus credenciales de acceso (“Access Token”) con la nueva membresía en “Grupo2
Esto lo podemos verificar con el comando “WHOAMI /GROUPS”. Y por supuesto además forzando la actualización de GPOs
Como podemos comprobar, a “User Uno” que pertenece al “Grupo2” le está aplicando la configuración
En cambio, repitiendo el mismo procedimiento en CL2, con “User Dos” no le está aplicando la configuración, pues este usuario no es miembro de “Grupo2”
En cada uno de los clientes podemos verificar la membresía en grupos y las GPOs que se están aplicando utilizando el comando GPRESULT /R
Dejaré este tema acá. En estas dos notas hemos visto las formas más comunes para configurar la aplicación de GPOs a usuarios, y que serán útiles en la amplia mayoría de los casos, pero no son las únicas opciones, hay dos más
La aplicación de GPOs también se puede configurar a través de filtros WMI, generalmente basados en la configuración hardware del equipo, y actualmente casi totalmente reemplazados mediante “Preferences”, y también y especialmente para servidores de Escritorio Remoto con “Loopback Processing Mode” (Procesamiento de Bucle Invertido)
Esta última opción la he desarrollado e implementado en la nota: “Remote Desktop – Escritorio Remoto: Limitando a los Usuarios con Directivas de Grupo (Group Policies – GPOs)”
WindowServer 
Comentarios
Excelente Guillermo! Te hago una consulta, en mi laburo tengo un dominio en win server 2012 y hay un par de usuarios que usan SIAP (el programa de la afip) instalado en sus PC con win 8,1, el problema es que un aplicativo de este programa no graba los datos si no se ejecuta el mismo como Administrador, y la verdad que no me hace gracia darles esos atributos a estos dos usuarios pero por el momento no encontré otra solucion. Hay alguna forma de corregir esto elevando permisos al software en vez de a los usuarios? Desde ya agradezco tu tiempo.
Hola Jorge, no que yo sepa, pero ¿haz pensado en una máquina virtual?
Nunca probé, medio que descartando la idea por el hecho de que ese programa específicamente está muy mal diseñado, pero no me cuesta nada voy a probar por ese lado. Muchas gracias
Hola Jorge, sí, es así, a todos les da «dolores de cabeza» :)
Increiblemente util, como siempre!!!
Una pregunta a ver si sabes por donde puedo tirar.
En mi trabajo hay unas GPO’s que aplican que son muy restrictivas y que tienen que ser asi por motivos de seguridad (organismo publico), pero sobre esas GPO’s podemos desarrollar otras GPO’s para que las cosas funcionen «medio normal».
Esta ultima semana hemos tenido que aplicar una nueva GPO muy restrictiva sobre Internet Explorer 11 que hace que (entre otras cosas) cada vez que quieran abrir un programa de lo que sea (.exe, .bat, .msc, …) salga un mensaje indicando que no es un editor confiable y o aceptas o cancelas, pero es un mensaje muy molesto.
Mi pregunta es, sobre esas GPO’s es, hay alguna manera de trabajar para hacer que las cosas funcionen que sea facil de hacer o hay que ir elemento a elemento de la GPO para ver que hace cada una de ellas y «DESCUBRIR» cual hace que me falle el sistema?
Gracias
Hola Adolfo, no sé si vas a poder. Si el que hace la GPO de «más arriba» sabe lo que hace no hay forma de evitarla :)
De todas formas revisa el enlace que pongo abajo a ver si se puede hacer algo, ya que permite agregar archivos a las zonas de confianza
http://blog.asirsl.com/Lists/EntradasDeBlog/Post.aspx?ID=356
Pero si yo aplico mi GPO despues de la suya cambiando alguno de los valores que me afectan al funcionamiento? Me temo que la solucion sera ir probando uno a uno los mas de 120 valores que toca la GPO impuesta e ir creandome una para que se ejecute despues. Como lo ves?
Gracias
Hola Adolfo, los valores que prevalecen son los de la última GPO, salvo que el enlace de las GPOs superiores estén forzados
Por eso en el comentario anterior puse si el que configura la de «más arriba» sabe lo que hace
Guillermo, como estas?
Antes que nada felicitaciones por el BLOG es realmente EXCELENTE!
Te hago una consulta… tengo actualmente 2 sitios, usando tu tutorial y anda perfecto, el problema es que quiero hacer que una GPO se aplique según el sitio en que estés… es posible esto? Es para redirigir al proxy que corresponda. Gracias!!!!
Hola Fernando ¡Gracias por el comentario! :)
Sí, se pueden enlazar GPOs a Sitios, lo que pasa es que está «medio oculto» :)
En la consola de administración de GPOs, botón derecho sobre «Sitios» / Mostrar Sitios», seleccionas, y luego puedes enlazarle GPOs
Pero la GPO la pongo yo. Es decir, a mi me la dan hecha y la tengo que poner, pero por encima puedo crear una que machaque algún valor para que los equipos me funciones. La pregunta es si la forma de hacerlo es uno por uno cambiando los valores o hay alguna otra manera de hacerl0
gracias
LA GPO viene impuesta, pero puede ser modificada con valores que haga que los equipos funcionen mejor. PAra ello se puede crear una nueva GPO se se aplique después de la restrictiva para hacer que las cosas funcionen. Pero mi pregunta es si hay alguna manera rápida de hacerlo, o hay que ir probando uno a uno los valores que son modificados en la GPO impuesta.
Gracias de nuevo
Entiendo lo que me dices, pero la GPO impuesta puede (esta permitido) ser modificada con GPO’s que se apliquen después siempre que quede documentada la necesidad del cambio. Mi pregunta es si hay alguna forma rápida de dejar que el equipo funcione correctamente o tengo que ir valor por valor probando la manera de dejar que el equipo funcione bien
Gracias de nuevo
Hola Adolfo, unifiqué tus 3 comentarios
Aunque el ejemplo que desarrollé tiene una única configuración para que sea claro el objetivo, es sabido que cada GPO puede tener múltiples configuraciones
Cuál configuración prevalece, o cómo se puede forzar determinadas configuraciones, está explicado en las dos notas entiendo que claramente, e inclusive con un ejemplo en cada caso. Te recomiendo vuelvas a leer las dos notas si tienes dudas
O si es para un caso concreto puedes poner la pregunta en algún foro de soporte, por ejemplo los de Technet https://social.technet.microsoft.com/Forums/es-ES/home
Hola Guillermo, buen día .
antes que nada, te felicito ya que esta muy buena tu pagina y se entiende perfectamente.
a continuación expongo mi caso.
tengo una política para aplicar algunos links en Favoritos de IE11 el detalle esta en que cuando la aplico a 1 usuario y validar en la pc cliente, no aplica la GPO pero si agrego la pc donde se esta firmando el usuario en este momento actualizo politicas en el cliente y de esta forma si aplica. curiosamente dos políticas que han tenido que ver con IE11 borrado de cookies y links de favoritos no aplican si solo agrego al usuario, si agrego al usuario y la pc donde se firma si aplican.
cabe señalar que ambas políticas la configuración ha sido por usuario.
Me alegro te sirva el blog y ayude a comprender
Pero esto no es un foro de soporte, sólo oriento cuando puedo. En lo que planteas no logro entender la estructura que tienes ni dónde aplica la GPO
Te sugiero recurras a un foro de soporte, por ejemplo los de Technet en https://social.technet.microsoft.com/Forums/es-ES/home y trata de dar detalles para que se pueda comprender dónde enlazas la GPO, dónde están las cuentas de máquina y usuario, etc. etc.
Hola Guillermo,
Excelente blog, pero justo este articulo que estoy interesado no se ven las imágenes. Lo he intentado con dos navegadores, pero sigue sin verse.
¿Puedes hacer algo para que se vean?
Saludos.
Luis Guerra
Hola Luis, tienes razón, ya me pongo a ver el tema. Desde la máquina donde lo publiqué se ven perfectamente, pero desde otra no
Hola Luis, creo que ya está arreglado, se deberían ver las imágenes
Si no las puedes ver, lo mismo si le sucede a otra persona, por favor avísenme
Gracias
Hola Guillermo,
No, siguen sin poderse ver las imágenes. He probado en otro ordenador y lo mismo, no se pueden ver.
Saludos.
Es raro, porque yo lo probé desde otras dos máquinas, y con dos exploradores diferentes y ahora las veo perfectamente
Voy a esperar si a otro le sucede lo mismo ¿no tendrás algún filtrado en el cortafuegos? porque las imágenes no están almacenadas en WordPress
Hola Guillermo,
No, no tengo ningún filtrado en el cortafuegos de ese tipo. Bueno esperaré a ver si alguien le pasa lo mismo.
Gracias Guillermo
Saludos.
Hola Luis, es algo raro lo que te sucede, lo he visto alguna vez cuando hay problemas con la conectividad, generalmente con poco ancho de banda ¿lo has podido probar desde otra máquina o conexión? porque yo lo he probado desde tres máquinas diferentes y con dos exploradores diferentes y veo las capturas. Y por otra parte nadie más ha avisado del problema
Si necesitas algún detalle que no puedes «adivinar» avisa, que te envío la información aunque sea por correo
Hola Guillermo,
A ver si me puedes ayudar.
Hace un tiempo creé una GPO en la que, tal y como explicas, sólo se aplicaba a unos usuarios en concreto.
El tema está en que ahora, a los nuevos usuarios no se le aplica a no ser que le de permisos a los usuarios autenticados.
Tienes alguna idea de que puede pasar?
Hola Oscar, porque hubo una actualización de seguridad que cambia el contexto de seguridad de lectura de las GPOs, seguramente es eso. A los usuarios anteriores en realidad no se la debe estar aplicando, deben estar usando la versión «cacheada»
Revisa esta nota: GPOs No Se Aplican (MS16-072 – KB3163622 y KB2919355) | WindowServer
Lo más sencillo, aunque sean GPOs de usuario, agrega permiso de lectura a «Domain Computers». Las máquinas del Dominio pertenecen también a «Authenticated Users» y por eso así funciona :)
1000 gracias Guillermo. Solucionado!
Hola Guillermo, un blog excelente te felicito.
Te quería preguntar 3 cosas
1 En el GPM aparece un nodo que se llama GPO Inicio que si lo despliegas, en mi caso, no aparece nada más que un botón para crear una carpeta, supongo que es para tener varias GPO de incio. Estas GPO de Inicio tienen alguna diferencia con respecto a las GPO normales ? Cual es el motivo de tener varias GPO de inicio?
2 En un dominio que tiene todos los usuarios dentro de una OU y queremos modificar la política de contraseñas de todos por igual que práctica sería más recomendable. Modificar la configuración de contraseñas en la Default Domain Policy o crear una nueva GPO con solo esa configuración y aplicarla a la OU ?
3 Por último, si varías esa política de contraseñas cual es la mejor maneare forzar a los usuarios para que cambien su contraseña adaptada a la nueva política?
Saludos y muchas gracias de antemano por tus comentarios,
Hola Jorge ¡Gracias!
1.- Las GPO de inicio tienen como objetivo fundamental servir de «plantillas» para crear otras GPOs. Por ejemplo si tienes varias GPOS que comparten una cantidad de configuraciones, podrías crear una inicial con esas configuraciones, y luego usarla como base para crear otras agregándole las configuraciones específicas adicionales de cada una
2.- Todo lo que sea relativo a configuraciones de cuenta, tiene validez únicamente en la «Default Domain Policy», no tomarán configuraciones de cuenta desde ninguna otra. Si se necesitara tener diferentes directivas de contraseña o bloqueo se puede usar otro procedimiento: Windows Server 2012 – Fine-grained Passwords and Account Lockout Policy | WindowServer
3.- Lo mejor es que el cambio se vaya haciendo en forma gradual, pero si quieres siempres puedes resetearle la contraseña marcando que la debe cambiar al primer inicio
Guillermo, muchas gracias de nuevo por tus comentarios y por la rapidez.
Saludos, Jorge
Hola Guillermo, gracias por tus posts son muy ilustrativos y de ENORME ayuda, referente a este de la plicacion de GPO´s tengo una duda/problema, recientemente y tras en un AD con esquema Windows 2008 introduje servidores Windows 2012 R2 y a partir de un punto las GPO han dejado de aplicarse en los nuevos equipos que añado al dominio. He elevado el forest y el dominio a esquema 2012 R2. Tengo GPO´s por usuario, grupo, equipos, etc y he leido tus post de que esto ha cambiado pero tu link https://windowserver.wordpress.com/2016/04/26/directivas-de-grupo-gpo-filtrado-de-seguridad/ no contiene la informacion, esta vacio, ¿puedes darme una pista de como restablecer los permisos de AD para que las GPOs que tengo se apliquen?
Muchas gracias de antemano.
Un saludo.
Hola Julián, me alegro te sirvan las notas
El post este, que habla sobre el filtrado de seguridad, yo lo veo perfectamente, inclusive verifiqué desde otra máquina para que no sea que estoy viendo información «cacheada». Si embargo reviso el enlace que pones en tu comentario y tal como dices no la encuentra :S ¿Estará WordPress con problemas?
Por las dudas pego el enlace de esta nota, dale un F5 u otro navegador por las dudas:
Directivas de Grupo (GPO) – Filtrado de Seguridad | WindowServer
Y revisa también este otro
GPOs No Se Aplican (MS16-072 – KB3163622 y KB2919355) | WindowServer
Y con referencia al tema, primero que nada verifica que las GPOs se han replicado correctamente
Para restablecer los permisos por omisión, creo que lo más fácil y rápido es crear una sólo para ver los permisos, y luego aplicarla a las demás, no conozco que exista una forma automática de restablecer estos permisos por omisión, pero no son complicados
En general siempre es preferible hacer una jerarquía de OUs que facilite la aplicación de GPOs, si no queda más remedio, cortar herencia y forzar, y filtrado de seguridad sólo como última instancia y si realmente no hay otra posibilidad
Hola Guillermo, gracias por tu respuesta, muy amable, leyendo atentamente éste post tuyo desde el que te escribo he encontrado la solución, como dices el grupo «usuarios autentificados» incluye a usuarios y máquinas y ahí estaba el problema. Mi AD viene de atrás, de esquemas Windows 2008 y comprobé con un AD nuevo implementado directamente sobre un DC Windows 2012 R2 que he creado para pruebas que las GPO les faltaba «Usuarios autentificados», lo he incluido en algunas GPOs que no se ejecutaban dándole permisos de lectura y han funcionado perfectamente.
Aprovecho para reiterar mi agradecimiento, llevo con este asunto varias semanas he rebuscado y rebuscado y no conseguia ni siquiera una pista de lo que podía pasar hasta que me acorde de tus post y «voila» , se hizo la inspiración.
Gracias de nuevo Guillermo.
Un saludo desde España.
Hola Julián, realmente me alegro lo hayas solucionado
Saludo desde Argentina
amigo Guillermo como siempre excelentes tutoriales, tengo una pregunta acerca de GPO, requiero que cuando un usuario se mueva de una localidad a otra se le autoinstalen las impresoras de dicha localidad, para esto quiero aplicar una política de sitio, el tema es que no se bien como vincularla, es decir.. Creo el link al sitio únicamente y en el filtro de seguridad los usuarios autenticados o tengo que vincularla también a mi dominio completo?
Hola Juan, sí, sería así enlazando la GPO a cada sitio y aplicando filtrado de seguridad, pero cuidado con el tema del filtrado de seguridad porque posteriormente a esta nota hubo una actualización de seguridad que modifica el contexto de seguridad con el que se leen las GPOs
GPOs No Se Aplican (MS16-072 – KB3163622 y KB2919355) | WindowServer
Algo más a tener en cuenta, si son Dominios diferentes en cada Site y no hay un Controlador de Domino del sitio donde está la cuenta de usuario en el Site donde inicia sesión, en general no se recomienda porque es sumamente lento el tema
Como la GPO se almacena sólo en el Dominio donde está creada, cuando un usuario accede desde una máquina en otro Dominio hay que ir a buscarla sobre el enlace WAN. Y atención a algo más, revisa en las propiedades de cada configuración porque algunas no se aplican si detecta enlace lento
Por si te sirve de ayuda
Instalando Impresoras por Directivas de Grupo (GPOs) | WindowServer
Guillermo saludos cordiales, te quiero consultar este inconveniente que tengo al realizar los pasos para aplicar esta GPO justamente de un tapiz, pero no se aplica a los grupos, y sin embargo al darle clic a la GPO creada que le he llamado Wallpaper me sale este mensaje de error:
El mensaje «Los permisos para este GPO en la carpeta SYSVOL son inconsistentes con los de Active Directory» cuando ejecuta GPMC
Que solucion podrias comentar para resolver este inconveniente que no me deja aplicar la GPO. Te agradezco tu respuesta y ayuda.
Hola David, no, no doy soluciones, eso le toca al que administra :)
No tengo forma de saberlo pero por el tipo de error creo que has modificado permisos en un lugar que no es el correcto, porque nunca se tocan directamente los permisos en Sysvol
Si de casualidad estoy agregando un usuario que esta en usuarios autenticados y le quiero denegar el permiso solo a uno pero el esta en usuarios autenticados , tambien aplica la restriccion ?
Hola Daniel, no termino de comprender bien la pregunta, pero en lugar de eso debería ser mucho más simple crear un grupo específico, y tratar de usar lo menos posible las denegaciones, es más complicado
Trackbacks
[…] la próxima nota continuaré con el tema, pero utilizando el filtrado de seguridad. Es una opción más compleja […]
[…] Para eso en la ficha “Delegation” de la GPO, no del enlace, denegaré la aplicación como se muestra a continuación. Si tienen dudas sobre el procedimiento consulten “Directivas de Grupo (GPO) – Filtrado de Seguridad” […]
[…] Directivas de Grupo (GPO) – Filtrado de Seguridad | WindowServer https://windowserver.wordpress.com/2016/04/26/directivas-de-grupo-gpo-filtrado-de-seguridad/ […]