Lo primero que debemos crear es una Unidad Organizacional que contenga nuestros usuarios de Terminal.
Hagamos un alto aquí y diferenciemos entre políticas que se aplican a nivel de equipo y políticas que se aplican a nivel de usuario.
- Las de equipo afectan a todos los usuarios que inicien sesión en ese equipo en particular.
- las de usuario afectan a los usuarios, independiente de en que equipo inicien sesión.
Si vamos a aplicar las políticas a nivel de equipo en una OU, debemos mover las cuentas de equipo a este contenedor, de lo contrario no aplican.
Si vamos a aplicar las políticas a nivel de usuario en una OU, debemos mover las cuentas de usuario a este contenedor, de lo contrario no aplican.
Aquí juega un papel importante algo tan simple como los nombres de equipo y nombres de usuario. Recomiendo que los nombres de equipos sean totalmente diferentes a los nombres de los usuarios. Por ejemplo:
Error:
nombre de equipo: CARLOS
nombre de usuario: Carlos
Correcto:
nombre de equipo: PCCONTABILIDAD
nombre de usuario: Contabilidad
Esto es para que cuando se tenga que aplicar políticas a nivel de equipo y a nivel de usuario dentro del mismo contenedor (OU), podamos mover ámbas cuentas sin problema.
Ahora, lo normal es que pensemos en crear una OU y movamos allí las cuentas de usuario a las que vamos a aplicar las políticas, para denegar cuando inicien sesión en el Terminal Server, pero, aquí hay un problema y es que estas políticas también aplicarán cuando inicie sesión en su propia estación dentro de la red.
La solución a esto es crear las políticas en el contenedor del Terminal Server ya que si se intenta hacer un link de GPO de la que aplica en el OU de usuario, esta tampoco se ejecutará, ya que el objeto usuario no existe en el contenedor de Terminal Server.
Al crear la GPO en el contenedor de Terminal Server debemos activarle el Loopback Processing Mode y configurarlo para hacer Replace.
Con esto realmente lo que estamos haciendo es que cualquier cambio que hagamos a nivel de usuario en la GPO, afectará a todos los usuarios que inicien sesión en este Terminal Server, aún cuando el objeto usuario no se encuentre en el contenedor. El Replace se configura para que apliquen las políticas configuradas a nivel de usuario creadas en este contenedor por encima de las que normalmente esten configuradas para este usuario.
El siguiente punto a seguir es filtrar la GPO para que no afecte a algunos usuarios o a administradores por ejemplo, que inicien sesión en el Terminal Server:
Yo crearía un grupo con cualquier nombre y a este agregaría al administrador y a los usuarios que quiero que no afecte la política. Vamos al GPO Manager > seleccionamos el Link del GPO en el contenedor de Terminal Server > Delegación > boton Avanzado > agregar > agregamos el grupo y hacemos clic en 'Denegar' para 'Aplicar política de grupo'.
Así resolvemos fácilmente el problema de cómo aplicar correctamente las políticas en los servidores de Terminal.
---
Walter J. Taborda
MCP, MCSA / MCSE Windows Server 2003
VS Visión Sistemas
Itagui, Antioquia, Colombia
tel: 281 52 44 - celular: 313 797 53 33
walter.taborda@NOSPAMvisionsistemas.com.co
www.visionsistemas.com.co/
4 comentarios:
Muy buena la explicación. Se agradece la sencillez.
Muchas gracias.
Con mucho gusto Flector. :-)
Se que esto es de windows 2003. Tengo un server win 2008R2 y estaciones windows xp con politicas de restriccion. al aplicar estas politicas de usuario y de equipo no las toman en su totalidad los equipos y otros si. A todos les he bajado el firewall. Debo aplicar solo politica de usuario o solo de equipo? si aplico las dos se contradicen?
Hola Sergio,
Lo principal en este tema de políticas y en casi todo en redes basadas en dominio es la configuración DNS. cualquier error en esto significa comportamientos impredecibles.
Los equipos en su totalidad deben tener como DNS principal al controlador de dominio que tiene el servicio DNS, no se debe colocar ningún otro sino se tienen mas dentro de la red.
No es necesario bajar el Firewall.
Sobre aplicar políticas a nivel de usuario o a nivel de equipo es subjetivo, pues eres tú quien decide a cual aplicarlo según la necesidad.
Creas una unidad organizacional y dentro de ella colocas los usuarios a los que quieres que apliquen las políticas de usuario. Si vas a aplicar políticas a nivel de equipos, colocas allí los equipos a los cuales va a aplicar. Puede ser ambos.
Las políticas se contradicen solo si la misma política es aplicada una denegando y en la otra permitiendo al mismo objeto (usuario o equipo)
Publicar un comentario