Problema con directivas.

21/03/2005 - 19:25 por Miguel | Informe spam
Hola.

Os quería preguntar cual sería el comportamiento de las politicas en el
siguiente escenario:

- Active Directory 2003
- 2 controladores de dominio windows server 2003
- todas las politicas por defecto.

Se realiza la siguiente intervención:

- se crea una GPO con las siguientes configuraciones:

Windows Settings
Security Settings
Local Policies/User Rights Assignment
Policy
Setttings

Deny access to this computer from de network Grupo1 y
Grupo2
Deny log on locally
Grupo1 y Grupo2
Deny log on through Terminal Services Grupo1
y Grupo2

Esta Gpo la apliqué a nivel de dominio.

Resulta que despues de haberla aplicado me dicen que el resto de usuarios
(que NO pertencen ni a Grupo1 ni a Grupo2) tienen problemas para iniciar
sesión.

A mi me parece imposible que una directiva como esta (en un entorno con las
GPO por defecto) pueda afectar de forma negativa a otros usuarios.

OK. La directiva estaba sin definir y yo acabo de definirla, Pero es una
DENEGACIÓN a unos grupos... por lo tanto no puede afectarle a los demás
usuarios. Otra cosa sería que concediese permisos a estos grupos... en ese
caso SOLO los grupos mencionados tendrían acceso y los demás "posiblemente"
no.

He probado esto en mi red y no tengo problema de ningún tipo. Por favor,
¿alguien podría confirmar (o derribar) mi teoría?

Estaría eternamente agradecido.

Un saludo.
 

Leer las respuestas

#1 Guillermo Delprato [MS-MVP]
24/03/2005 - 18:13 | Informe spam
A ver si puedo ayudarte. Los rights se deben implementar en la OU "más
cercana" a los servidores que quieras afectar.
El tema es que no se "mezclan-acumulan" los rights de diferentes políticas,
aplica los de una o los de la otra. Como lo tienes puesto a nivel de
dominio, estoy suponiendo que esta policy te está "restando" los rights de
la Default Domain Policy, y luego le trae problemas a otros usuarios porque
pierden los rights predefinidos

Saludos

Guillermo Delprato
MVP - MCT - MCSE - MCP
Buenos Aires, Argentina

NOTA. Por favor, las preguntas y comentarios en los grupos, así nos
beneficiamos todos. Este mensaje se proporciona "como está" sin
garantías de ninguna clase, y no otorga ningún derecho. Ud. asume los
riesgos This posting is provided "AS IS" with no warranties, and
confers no rights. You assume all risk for your use.



Miguel wrote:
Hola.

Os quería preguntar cual sería el comportamiento de las politicas en
el siguiente escenario:

- Active Directory 2003
- 2 controladores de dominio windows server 2003
- todas las politicas por defecto.

Se realiza la siguiente intervención:

- se crea una GPO con las siguientes configuraciones:

Windows Settings
Security Settings
Local Policies/User Rights Assignment
Policy
Setttings

Deny access to this computer from de network Grupo1
y Grupo2
Deny log on locally
Grupo1 y Grupo2
Deny log on through Terminal Services Grupo1
y Grupo2

Esta Gpo la apliqué a nivel de dominio.

Resulta que despues de haberla aplicado me dicen que el resto de
usuarios (que NO pertencen ni a Grupo1 ni a Grupo2) tienen problemas
para iniciar sesión.

A mi me parece imposible que una directiva como esta (en un entorno
con las GPO por defecto) pueda afectar de forma negativa a otros
usuarios.
OK. La directiva estaba sin definir y yo acabo de definirla, Pero es
una DENEGACIÓN a unos grupos... por lo tanto no puede afectarle a los
demás usuarios. Otra cosa sería que concediese permisos a estos
grupos... en ese caso SOLO los grupos mencionados tendrían acceso y
los demás "posiblemente" no.

He probado esto en mi red y no tengo problema de ningún tipo. Por
favor, ¿alguien podría confirmar (o derribar) mi teoría?

Estaría eternamente agradecido.

Un saludo.

Preguntas similares