Aplicar una directiva en un servidor de TServer

28/01/2004 - 02:09 por David | Informe spam
Hola a todos:

He revisado en los mensajes anteriores y aún siguiendo los consejos que se indicaban en algunos de ellos, no he conseguido que se apliquen directivas a usuarios que se loguean en el servidor de TServer.

Los pasos que he seguido son:

- En el servidor de windows 2000 server que hace de controlador de dominio creo una nueva organizacion organizativa para hacer las pruebas.

- Dentro de esa OU muevo al equipo que soporta el Terminal Server, incluso un grupo local que contiene a los usuarios con los que voy a hacer las pruebas.

- Despues creo una nueva directiva que evita que el usuario no pueda acceder al panel de control, por ejemplo.

- He leido por ahí que las directivas tardan unos 90 minutos en activarse por así decirlo asi que tras la espera inicio sesión por terminal server con esos usuarios y todos pueden acceder al panel de control por lo que la directiva no se aplica bien.

El servidor de Tserver tiene puesta como DNS primario la IP del servidor controlador de dominio.

¿Donde está el fallo? ¿Me he dejado algo en el camino?.

Muchas gracias por adelantado.
 

Leer las respuestas

#1 Fernando Reyes [MS MVP]
28/01/2004 - 02:39 | Informe spam
No te funciona porque la directiva de panel de control que estás aplicando
es de usuario y sólo está en la OU la cuenta del servidor TS. Que pongas en
la OU un grupo es inútil, pues las políticas afectan a los objetos de tipo
equipo y usuario que estén dentro de la OU en la que está vinculada
vinculada la GPO que las contiene, pero no afectan a grupos, por más que
éstos estén dentro del contenedor en el que está vinculada la GPO. Si en una
OU hay cuentas de equipo, todas las directivas de usuario que defina serán
ignoradas, pues n afectarán a estos. Para que es política de panel de
control afecta al usuario que se loga tienes dos opciones:

1.- Mover las cuentas de usuario que necesites que se loguen en el TS a la
OU en la que está el servidor TS. Esta opción es válida tan sólo si esos
usuarios no se van a logar en equipos locales o si también se les quiere
restringir con esa directiva; en caso de que se quiera que tengan distintas
políticas si se logan en un equipo local o en el de TS esta solución no es
válida, pues siempre se le aplicará al usuario la GPO, en su parte de
usuario, que está vinculada a la OU en la que está contenido el usuario y el
equipo TS, indpendientemente de que el usuario se haya logado en local o en
remoto.

2.- Dejar el servidor TS en la OU que has creado, mover el grupo a su
contenedor original (lo digo por motivos de orden en el directorio activo,
no por otra cosa, pues es indiferente, de forma funcional, dónde esté el
grupo), dejar las cuentas de los usuarios donde estén (en la OU al aque
pertenezcan) y activar en la GPO que está vinculada a la OU donde está
contenida la cuenta del servidor TS la directiva "Configuración del
equipo\Plantillas administrativas\Sistema\Directiva de grupo\Modo de
procesamiento invertido de la directiva de grupo de usuario". De esta forma,
independientemente de dónde esté ubicada dentro del directorio activo la
cuenta del usuario que se loga en el servidor TS, se consigue que las
directivas de la rama de usuario afecten a éste cuando se loga en el
servidor TS. Tiene dos opciones de funcionamiento:

a) "Sustituir": con esta opción se ignoran las directivas que
corresponderían al usuario según la ubicación dentro del directorio de su
cuenta, aplicandose tan sólo las directivas que contiene la GPO.
b) "Combinar": con esta opción se procesarán las directivas
der usuario correspondientes al lugar donde esté ubicada la cuenta del
usuario en el directorio activo más las directivas de usuario de la propia
GPO que tiene activada la directiva de procesamiento de modo invertido de la
directiva de grupo de usuario (digamos que se suman las directivas). En el
caso de que un directiva esté definida en ambos sitios y entre en
contradicción la definición de un sitio con la del otro, se procesará
(digamos que "ganará") la definición de la directiva que tenga la GPO
vinculada a la OU del TS (la que tiene activada la directiva de
procesamiento de modo invertido de la directiva de grupo de usuario).
Un saludo
Fernando Reyes [MS MVP]
MCSE Windows 2000

(No me seas cochino si quieres escribirme)


"David" escribió en el mensaje
news:554501c3e53b$60637db0$
Hola a todos:

He revisado en los mensajes anteriores y aún siguiendo los consejos
que se indicaban en algunos de ellos, no he conseguido que se
apliquen directivas a usuarios que se loguean en el servidor de
TServer.

Los pasos que he seguido son:

- En el servidor de windows 2000 server que hace de controlador de
dominio creo una nueva organizacion organizativa para hacer las
pruebas.

- Dentro de esa OU muevo al equipo que soporta el Terminal Server,
incluso un grupo local que contiene a los usuarios con los que voy a
hacer las pruebas.

- Despues creo una nueva directiva que evita que el usuario no
pueda acceder al panel de control, por ejemplo.

- He leido por ahí que las directivas tardan unos 90 minutos en
activarse por así decirlo asi que tras la espera inicio sesión por
terminal server con esos usuarios y todos pueden acceder al panel de
control por lo que la directiva no se aplica bien.

El servidor de Tserver tiene puesta como DNS primario la IP del
servidor controlador de dominio.

¿Donde está el fallo? ¿Me he dejado algo en el camino?.

Muchas gracias por adelantado.

Preguntas similares