domingo, 16 de mayo de 2010

Procesamiento de GPO con bucle invertido

Las GPO’s se aplican al usuario y al equipo dependiendo de donde se encuentre en la estructura del Directorio Activo ambos objetos. A partir de Windows 2000 se viene ofreciendo una opción llamada Procesamiento de bucle invertido (Loopback Processing) que nos permite aplicar las GPO’s solamente de acuerdo con el equipo en el que el usuario se loguea. De esta manera las políticas de configuración del equipo toman preferencia sobre las del usuario.

Esta opción es especialmente útil para terminal servers, equipos de uso publico o bien en entornos donde queramos restringir los accesos como aulas de formación. Se puede aplicar esta opción de dos maneras distintas dependiendo si queremos que se aplique la configuración del usuario o no:
  • Modo de combinación (merge mode): en este modo la configuración del usuario se aplica primero y después la del equipo, de modo que la configuración del equipo toma preferencia sobre el de usuarios.
  • Modo de reemplazo (replace mode): solo se aplica la configuración del equipo.

Actualmente estoy con una instalacion en la que tengo la siguiente necesidad. El usuario puede realizar login en su equipo cliente y tiene que tener unas restricciones más relajadas que si este mismo usuario logea por escritorio remoto en el Servidor de TS.

Por lo tanto para realizar una gestión ordenada y simple he decidido rehacer las GPO que acutalmente tengo a nivel de OU para cada grupo de usuarios. La cosa queda así:

  • OU Oficina: empleados con acceso a su PC cliente y acceso remoto
  • OU Marketing: Acceso Remoto exclusivamente

Para conseguir esto se realiza de la siguiente forma:

  1. Crear una OU, llamaremos "TServer" para el equipo con rol de TS
  2. Meto el servidor TS en esta OU (TServer)
  3. Creo una nueva GPO o aplico una existente, Configuracion de Equipo\Plantillas administrativas\Sistema\Directivas de Grupo -> Mode de Procesamiento de bucle invertido...

  4. Después de esto se pueden aplicar las preferencias que necesitemos en "Configuración de Usuario" como se hace normalmente en cualquier GPO
  5. Una vez se ha termindado se ejecuta el comando "gpupdate /forece" y ya esta casi listo.
  6. Esto haría que las restricciones de usuario se apliquen a todos los usuarios independientemente del tipo que sea ya que en realidad estan aplicandose al equipo.
  7. Para reducir el ambito de aplicación en funcion del grupo de usuario podemos restringir la aplicación de la GPO esto se hace desde "Administracion de directivas de grupo" 

  8. Como se ve en la imagen, en el apartado "Filtrado de seguridad" se debe poner el grupo al que pertenecen los usuarios a los que se quiere aplicar esta GPO y así los administradores pueden loguear en este equipo sin sufrir ningun tipo de restricción.

Espero que quede claramente explicado la útilidad de esta directiva y además la implementación de la misma. Así no teneis que perder el tiempo que he perdido yo :-)


Saludos.

2 comentarios:

TheCount dijo...

Interesante Alberto. Pero que pasa si tu usuario se conecta via una mac que forma parte de un dominio windows2008?. Si bien las politicas se aplican al usuario, en realidad tienen la restriccion del SO. o no?
conoces alguna forma de resolver el problema?, scripts... GPOs o que? via demonio?. gracias por tu ayuda por anticipado

Anónimo dijo...

Es desde el 2008, no desde el server 2000.