Discussion:
PERFILES DE USUARIO, CREACIÓN DE POLÍTICAS
(demasiado antiguo para responder)
Alfons
2006-08-02 17:05:10 UTC
Permalink
Hola,
he creado un perfil de usuario y he personalizado el menú de inicio
ocultando muchas opciones para que queden restringidas para el usuario.
El problema está en que ese usuario esté en modo limitado (o sea que no
tiene privilegios de administrador) y puede volver a personalizar dicho
menú mostrando las opciones antes restringidas, ya que estas propiedades
tienen permisos universales.
Mi pregunta es si hay algún modo de restringir esto o hay que recurrir a
herramientas de terceros, y si es así que herramienta me recomendáis?

Otra cosa, he configurado el perfil antes de entrar la máquina en el
dominio, ya que mi intención era copiarlo después. Puede haber algún
problema con esto? o es mejor entrar la máquina en el dominio y una vez
hecho esto configurar el perfil de usuario?

Me han comentado que las restricciones podrían hacerse mediante
políticas en active directory. Alguien puede indicarme como crear
políticas a nivel de dominio en active directory para restringir
opciones de los menús, fondos de escritorio, etc. en los pc's clientes.

Muchas gracias por vuestra atención.
Javier Inglés [MS MVP]
2006-08-03 07:22:33 UTC
Permalink
Para la primera parte y tercera, en la misma ayuda de Window busca por GPO o
Políticas de Grupo. A parte:

Group Policy in Windows Server 2003

http://www.microsoft.com/technet/prodtechnol/windowsserver2003/technologies/management/gp/default.mspx



Group Policy Settings Reference for Windows Server 2003 with Service Pack 1.
http://www.jsiinc.com/SUBS/tip9200/rh9228.htm

GPO_FAQ

http://www.activedir.org/gp_faq.htm



Administering Group Policy with the GPMC

http://www.microsoft.com/windowsserver2003/gpmc/gpmcwp.mspx



Understanding Group Policies on Windows Server 2003

http://www.microsoft.com/technet/community/events/windows2003srv/tnt1-86.mspx



Understanding Group Policy on Windows Server 2003 Part 1

http://www.microsoft.com/technet/community/events/windows2003srv/tnt1-119.mspx



Understanding Group Policy on Windows Server 2003 Part 2

http://www.microsoft.com/technet/community/events/windows2003srv/tnt1-120.mspx



Para las egunda parte, mete primero el equipo en dominio y luego configuras
el perfil
--
Salu2!!
Javier Inglés
https://mvp.support.microsoft.com/profile=540CC20A-D91F-4E7B-A209-2CB5567431B0
MS MVP, Windows Server-Directory Services
Post by Alfons
Hola,
he creado un perfil de usuario y he personalizado el menú de inicio
ocultando muchas opciones para que queden restringidas para el usuario. El
problema está en que ese usuario esté en modo limitado (o sea que no tiene
privilegios de administrador) y puede volver a personalizar dicho menú
mostrando las opciones antes restringidas, ya que estas propiedades tienen
permisos universales.
Mi pregunta es si hay algún modo de restringir esto o hay que recurrir a
herramientas de terceros, y si es así que herramienta me recomendáis?
Otra cosa, he configurado el perfil antes de entrar la máquina en el
dominio, ya que mi intención era copiarlo después. Puede haber algún
problema con esto? o es mejor entrar la máquina en el dominio y una vez
hecho esto configurar el perfil de usuario?
Me han comentado que las restricciones podrían hacerse mediante políticas
en active directory. Alguien puede indicarme como crear políticas a nivel
de dominio en active directory para restringir opciones de los menús,
fondos de escritorio, etc. en los pc's clientes.
Muchas gracias por vuestra atención.
Alfons
2006-08-03 10:18:53 UTC
Permalink
Muchísimas gracias.
Se puede hacer que cada vez que se reinicie la máquina se restablezca la
misma configuración? Supongo que a través de aquí también se puede
configurar un mismo fondo de escritorio corporativo en todas las
máquinas con el mismo perfil.
En windows 2000 server se puede hacer de igual manera o hay algún otro
procedimiento distinto?

Otra vez más, muchas gracias por la atención recibida.
Post by Javier Inglés [MS MVP]
Para la primera parte y tercera, en la misma ayuda de Window busca por GPO o
Group Policy in Windows Server 2003
http://www.microsoft.com/technet/prodtechnol/windowsserver2003/technologies/management/gp/default.mspx
Group Policy Settings Reference for Windows Server 2003 with Service Pack 1.
http://www.jsiinc.com/SUBS/tip9200/rh9228.htm
GPO_FAQ
http://www.activedir.org/gp_faq.htm
Administering Group Policy with the GPMC
http://www.microsoft.com/windowsserver2003/gpmc/gpmcwp.mspx
Understanding Group Policies on Windows Server 2003
http://www.microsoft.com/technet/community/events/windows2003srv/tnt1-86.mspx
Understanding Group Policy on Windows Server 2003 Part 1
http://www.microsoft.com/technet/community/events/windows2003srv/tnt1-119.mspx
Understanding Group Policy on Windows Server 2003 Part 2
http://www.microsoft.com/technet/community/events/windows2003srv/tnt1-120.mspx
Para las egunda parte, mete primero el equipo en dominio y luego configuras
el perfil
Javier Inglés [MS MVP]
2006-08-03 10:58:15 UTC
Permalink
Las GPO funcionan para que se apliquen cuando el usuario inicia sesión (o
mientras está trabajando hay ciertas políticas que se aplican al momento) o
cuando el equipo arranca; tienes varias que se implementan similarmente en
2000, mírales bien ya que para el apartado de escritorio y demás tienes
muchas opciones
--
Salu2!!
Javier Inglés
https://mvp.support.microsoft.com/profile=540CC20A-D91F-4E7B-A209-2CB5567431B0
MS MVP, Windows Server-Directory Services
Post by Alfons
Muchísimas gracias.
Se puede hacer que cada vez que se reinicie la máquina se restablezca la
misma configuración? Supongo que a través de aquí también se puede
configurar un mismo fondo de escritorio corporativo en todas las máquinas
con el mismo perfil.
En windows 2000 server se puede hacer de igual manera o hay algún otro
procedimiento distinto?
Otra vez más, muchas gracias por la atención recibida.
Post by Javier Inglés [MS MVP]
Para la primera parte y tercera, en la misma ayuda de Window busca por
Group Policy in Windows Server 2003
http://www.microsoft.com/technet/prodtechnol/windowsserver2003/technologies/management/gp/default.mspx
Group Policy Settings Reference for Windows Server 2003 with Service Pack 1.
http://www.jsiinc.com/SUBS/tip9200/rh9228.htm
GPO_FAQ
http://www.activedir.org/gp_faq.htm
Administering Group Policy with the GPMC
http://www.microsoft.com/windowsserver2003/gpmc/gpmcwp.mspx
Understanding Group Policies on Windows Server 2003
http://www.microsoft.com/technet/community/events/windows2003srv/tnt1-86.mspx
Understanding Group Policy on Windows Server 2003 Part 1
http://www.microsoft.com/technet/community/events/windows2003srv/tnt1-119.mspx
Understanding Group Policy on Windows Server 2003 Part 2
http://www.microsoft.com/technet/community/events/windows2003srv/tnt1-120.mspx
Para las egunda parte, mete primero el equipo en dominio y luego
configuras el perfil
Alfonso - Interarenys SL
2006-08-03 12:11:38 UTC
Permalink
Hola de nuevo,
en lo de restablecer la configuración, me refería a un tipo de
restauración de sistema dejando el sistema operativo como nuevo cada vez
que se reinicia el pc, como por ejemplo lo que hace el programa deep
freeze o tarjetas pci como las que se utilizan el los cibercafés.

Me lo miraré en el windows 2000 server, pero me he dado cuenta de que la
consola de administración de gpo sólo se puede instalar en wxp
professional y en windows server 2003. Hay alguna consolar similar en
windows 2000 server?

Muchas gracias por la atención recibida. Saludos cordiales.
Post by Javier Inglés [MS MVP]
Las GPO funcionan para que se apliquen cuando el usuario inicia sesión (o
mientras está trabajando hay ciertas políticas que se aplican al momento) o
cuando el equipo arranca; tienes varias que se implementan similarmente en
2000, mírales bien ya que para el apartado de escritorio y demás tienes
muchas opciones
Javier Inglés [MS MVP]
2006-08-03 12:28:22 UTC
Permalink
No, por GPO puedes capar lo que necesites para que se toque más o menos,
pero no ofrecen ese nivel de funcionalidad de "empezar de 0" como tal.

Windows 2000 trae la consola por defecto para adminsitrar las GPO a la vieja
usanza, si quieres usar la GPMC, necesitas lo dicho
--
Salu2!!
Javier Inglés
https://mvp.support.microsoft.com/profile=540CC20A-D91F-4E7B-A209-2CB5567431B0
MS MVP, Windows Server-Directory Services
Post by Alfonso - Interarenys SL
Hola de nuevo,
en lo de restablecer la configuración, me refería a un tipo de
restauración de sistema dejando el sistema operativo como nuevo cada vez
que se reinicia el pc, como por ejemplo lo que hace el programa deep
freeze o tarjetas pci como las que se utilizan el los cibercafés.
Me lo miraré en el windows 2000 server, pero me he dado cuenta de que la
consola de administración de gpo sólo se puede instalar en wxp
professional y en windows server 2003. Hay alguna consolar similar en
windows 2000 server?
Muchas gracias por la atención recibida. Saludos cordiales.
Post by Javier Inglés [MS MVP]
Las GPO funcionan para que se apliquen cuando el usuario inicia sesión (o
mientras está trabajando hay ciertas políticas que se aplican al momento)
o cuando el equipo arranca; tienes varias que se implementan similarmente
en 2000, mírales bien ya que para el apartado de escritorio y demás
tienes muchas opciones
Alfonso - Interarenys SL
2006-08-03 20:51:23 UTC
Permalink
Entendido.
Muchas gracias por la explicación. Saludos cordiales.
Post by Javier Inglés [MS MVP]
No, por GPO puedes capar lo que necesites para que se toque más o menos,
pero no ofrecen ese nivel de funcionalidad de "empezar de 0" como tal.
Windows 2000 trae la consola por defecto para adminsitrar las GPO a la vieja
usanza, si quieres usar la GPMC, necesitas lo dicho
Alfonso - Interarenys SL
2006-08-22 12:46:06 UTC
Permalink
Hola de nuevo,
En windows 2000 server he creado una nueva directiva de grupo de la
siguiente manera:
MMC - (en la consola) Agregar o quitar complemento - Agregar directiva
de grupo - Default domain policy.
He restingido los aspectos que he creido convenientes en menús y barra
de herramientas y ahora me gustaría saber como puedo asociar esta
directiva a determinados usuarios o grupos.

Muchísimas gracias por vuestra atención.
Post by Alfonso - Interarenys SL
Entendido.
Muchas gracias por la explicación. Saludos cordiales.
Post by Javier Inglés [MS MVP]
No, por GPO puedes capar lo que necesites para que se toque más o
menos, pero no ofrecen ese nivel de funcionalidad de "empezar de 0"
como tal.
Windows 2000 trae la consola por defecto para adminsitrar las GPO a la
vieja usanza, si quieres usar la GPMC, necesitas lo dicho
Javier Inglés [MS MVP]
2006-08-22 12:59:17 UTC
Permalink
Lo ideal es que antes organices un poco tu dominio y crees OUs, luego creas
las GPO y las asocias a las OUs necesarias.

Para lo que pides a parte (ya que la Default domain Policy y la Default
domain Controller Policy no se deberían tocar más que en casos
necesarios -previa copia de seguridad- y sabiendo bien lo que se hace o
puedes dejar tu dominio inservible....)

Filtering the Scope of a GPO

http://www.jsiinc.com/SUBM/tip6400/rh6420.htm



How to Implement Group Policy Security Filtering

http://www.windowsnetworking.com/articles_tutorials/Group-Policy-Security-Filtering.html



Insisto, eso no lo hagas en la Default domain ni en la Default Domain
controller...
--
Salu2!!
Javier Inglés
https://mvp.support.microsoft.com/profile=540CC20A-D91F-4E7B-A209-2CB5567431B0
MS MVP, Windows Server-Directory Services
Post by Alfonso - Interarenys SL
Hola de nuevo,
En windows 2000 server he creado una nueva directiva de grupo de la
MMC - (en la consola) Agregar o quitar complemento - Agregar directiva de
grupo - Default domain policy.
He restingido los aspectos que he creido convenientes en menús y barra de
herramientas y ahora me gustaría saber como puedo asociar esta directiva a
determinados usuarios o grupos.
Muchísimas gracias por vuestra atención.
Post by Alfonso - Interarenys SL
Entendido.
Muchas gracias por la explicación. Saludos cordiales.
Post by Javier Inglés [MS MVP]
No, por GPO puedes capar lo que necesites para que se toque más o menos,
pero no ofrecen ese nivel de funcionalidad de "empezar de 0" como tal.
Windows 2000 trae la consola por defecto para adminsitrar las GPO a la
vieja usanza, si quieres usar la GPMC, necesitas lo dicho
Alfonso - Interarenys SL
2006-08-22 22:48:59 UTC
Permalink
Hola otra vez,

Ya he organizado el dominio. Lo único que esta política tan restrictiva
que estoy intentando hacer sólo se la tengo que aplicar a un solo
usuario. Pero bueno, para el caso es lo mismo, ya que supongo que será
lo mismo asociar o vincular una gpo a un usuario que a un grupo de usuarios.

He hecho caso de tus consejos y he creado la gpo de la siguiente manera
(supongo que lo he hecho correctamente):
mmc - (en la consola) Agregar o quitar complemento - Agregar directiva
de grupo - Directivas de grupo - Nueva directiva de grupo.
Una vez aquí he restringido todos los parámetros que he creído
conveniente y haciendo botón derecho - propiedades en Directiva nuevo
objeto directiva de grupo y en la pestaña seguridad he añadido el
usuario en cuestión y he marcado las casillas Permitir leer y aplicar
directiva de grupos. Después he guardado la consola con el nombre de
consola2.msc
Pero a partir de aquí me pierdo y no soy capaz de asociar la directiva
al usuario en cuestión.

Muchas gracias por la atención prestada.
Post by Javier Inglés [MS MVP]
Lo ideal es que antes organices un poco tu dominio y crees OUs, luego creas
las GPO y las asocias a las OUs necesarias.
Para lo que pides a parte (ya que la Default domain Policy y la Default
domain Controller Policy no se deberían tocar más que en casos
necesarios -previa copia de seguridad- y sabiendo bien lo que se hace o
puedes dejar tu dominio inservible....)
Filtering the Scope of a GPO
http://www.jsiinc.com/SUBM/tip6400/rh6420.htm
How to Implement Group Policy Security Filtering
http://www.windowsnetworking.com/articles_tutorials/Group-Policy-Security-Filtering.html
Insisto, eso no lo hagas en la Default domain ni en la Default Domain
controller...
Javier Inglés [MS MVP]
2006-08-23 07:17:01 UTC
Permalink
Te has mirado algún enlace de los que te puse??

La GPMC ayuda muco en la gestión de las GPO, y en el anterior post te puse
cómo filtrar el ámbito de una GPO...
--
Salu2!!
Javier Inglés
https://mvp.support.microsoft.com/profile=540CC20A-D91F-4E7B-A209-2CB5567431B0
MS MVP, Windows Server-Directory Services
Post by Alfonso - Interarenys SL
Hola otra vez,
Ya he organizado el dominio. Lo único que esta política tan restrictiva
que estoy intentando hacer sólo se la tengo que aplicar a un solo usuario.
Pero bueno, para el caso es lo mismo, ya que supongo que será lo mismo
asociar o vincular una gpo a un usuario que a un grupo de usuarios.
He hecho caso de tus consejos y he creado la gpo de la siguiente manera
mmc - (en la consola) Agregar o quitar complemento - Agregar directiva de
grupo - Directivas de grupo - Nueva directiva de grupo.
Una vez aquí he restringido todos los parámetros que he creído conveniente
y haciendo botón derecho - propiedades en Directiva nuevo objeto directiva
de grupo y en la pestaña seguridad he añadido el usuario en cuestión y he
marcado las casillas Permitir leer y aplicar directiva de grupos. Después
he guardado la consola con el nombre de consola2.msc
Pero a partir de aquí me pierdo y no soy capaz de asociar la directiva al
usuario en cuestión.
Muchas gracias por la atención prestada.
Post by Javier Inglés [MS MVP]
Lo ideal es que antes organices un poco tu dominio y crees OUs, luego
creas las GPO y las asocias a las OUs necesarias.
Para lo que pides a parte (ya que la Default domain Policy y la Default
domain Controller Policy no se deberían tocar más que en casos
necesarios -previa copia de seguridad- y sabiendo bien lo que se hace o
puedes dejar tu dominio inservible....)
Filtering the Scope of a GPO
http://www.jsiinc.com/SUBM/tip6400/rh6420.htm
How to Implement Group Policy Security Filtering
http://www.windowsnetworking.com/articles_tutorials/Group-Policy-Security-Filtering.html
Insisto, eso no lo hagas en la Default domain ni en la Default Domain
controller...
Alfonso - Interarenys SL
2006-08-23 13:38:17 UTC
Permalink
Hola de nuevo,
Lo siento he tenido mucho trabajo y los links que me pasaste ayer hasta
hoy no me los he podido leer. La GPMC no funciona en windows 2000 server.
Lo he realizado tal y como lo explican en uno de los links que me
enviaste (en windows 2000 server).
Creo la unidad organizativa, añado el usuario y creo una directiva de
grupo para esa unidad organizativa. Después de restringir los parámetros
que creo convenientes en menú inicio y barra de herramientas. Luego en
propiedades (de la directiva) - pestaña seguridad, añado al usuario y
marco las casillas permitir leer y aplicar directiva a grupos, pero
cuando inicio sesión con dicho usuario no se me aplican las
restricciones que he aplica en la directiva de grupo.

No sé en que estoy fallando.

Muchísimas gracias por la paciencia y por la atención recibida.
Post by Javier Inglés [MS MVP]
Te has mirado algún enlace de los que te puse??
La GPMC ayuda muco en la gestión de las GPO, y en el anterior post te puse
cómo filtrar el ámbito de una GPO...
Javier Inglés [MS MVP]
2006-08-24 07:54:19 UTC
Permalink
<<La GPMC no funciona en windows 2000 server>>

No, pero sí en cualquier estación con XP, merece la pena, muchísimo...

Haz otra prueba simple, mete en una OU al usaurio, y pon en esa OU de
pruebas la GPO, no filtres nada de usuaros, verifica que funciona.
--
Salu2!!
Javier Inglés
https://mvp.support.microsoft.com/profile=540CC20A-D91F-4E7B-A209-2CB5567431B0
MS MVP, Windows Server-Directory Services
Post by Alfonso - Interarenys SL
Hola de nuevo,
Lo siento he tenido mucho trabajo y los links que me pasaste ayer hasta
hoy no me los he podido leer. La GPMC no funciona en windows 2000 server.
Lo he realizado tal y como lo explican en uno de los links que me enviaste
(en windows 2000 server).
Creo la unidad organizativa, añado el usuario y creo una directiva de
grupo para esa unidad organizativa. Después de restringir los parámetros
que creo convenientes en menú inicio y barra de herramientas. Luego en
propiedades (de la directiva) - pestaña seguridad, añado al usuario y
marco las casillas permitir leer y aplicar directiva a grupos, pero cuando
inicio sesión con dicho usuario no se me aplican las restricciones que he
aplica en la directiva de grupo.
No sé en que estoy fallando.
Muchísimas gracias por la paciencia y por la atención recibida.
Post by Javier Inglés [MS MVP]
Te has mirado algún enlace de los que te puse??
La GPMC ayuda muco en la gestión de las GPO, y en el anterior post te
puse cómo filtrar el ámbito de una GPO...
Alfons
2006-08-24 17:28:41 UTC
Permalink
Hola,
he instalado la gpmc en windows xp professional, pero está vacía.

He hecho la prueba simple que me comentaste ayer, he creado un usuario
nuevo en la OU y en esa OU le he asociado una gpo (restringiendo
parámetros del menú inicio y del escritorio). No he rectificado nada de
usuarios pero sigue sin funcionar.

Antes de eso, también probé de añadir el usuario de la OU a la GPO y
aplicar en la pestaña de seguridad los atributos de permitir leer y
aplicar directiva de grupos. Y me aseguré de que en la OU está asociada
la GPO correspondiente con el usuario en la pestaña de seguridad con los
atributos de permitir leer y de aplicar directiva de grupos. Pero nada
de nada...

Lo único que se me ocurre es que haya algún tipo de problema entre los
sistemas operativos windows 2000 server y windows xp professional.

Muchas gracias otra vez por la colaboración.
Post by Javier Inglés [MS MVP]
<<La GPMC no funciona en windows 2000 server>>
No, pero sí en cualquier estación con XP, merece la pena, muchísimo...
Haz otra prueba simple, mete en una OU al usaurio, y pon en esa OU de
pruebas la GPO, no filtres nada de usuaros, verifica que funciona.
Javier Inglés [MS MVP]
2006-08-25 07:20:16 UTC
Permalink
No hay problemas entre equipos 2000 y XP socio; pero, si la GPMC te aparece
acía, y la política no se aplica, entonces habría que empezar a revisar
visor de eventos del DC, de la estación, pasar un dcdiag y netdiag para
verificar que esté todo correctamnete ocnfigurado antes; la aprte de
configuración DNS es imprescindible que esté totalmente correcta, si no todo
falla.

a parte,repasa además esto:

Solución de problemas de aplicación de la directiva de grupos
http://support.microsoft.com/kb/250842/
--
Salu2!!
Javier Inglés
https://mvp.support.microsoft.com/profile=540CC20A-D91F-4E7B-A209-2CB5567431B0
MS MVP, Windows Server-Directory Services
Post by Alfons
Hola,
he instalado la gpmc en windows xp professional, pero está vacía.
He hecho la prueba simple que me comentaste ayer, he creado un usuario
nuevo en la OU y en esa OU le he asociado una gpo (restringiendo
parámetros del menú inicio y del escritorio). No he rectificado nada de
usuarios pero sigue sin funcionar.
Antes de eso, también probé de añadir el usuario de la OU a la GPO y
aplicar en la pestaña de seguridad los atributos de permitir leer y
aplicar directiva de grupos. Y me aseguré de que en la OU está asociada la
GPO correspondiente con el usuario en la pestaña de seguridad con los
atributos de permitir leer y de aplicar directiva de grupos. Pero nada de
nada...
Lo único que se me ocurre es que haya algún tipo de problema entre los
sistemas operativos windows 2000 server y windows xp professional.
Muchas gracias otra vez por la colaboración.
Post by Javier Inglés [MS MVP]
<<La GPMC no funciona en windows 2000 server>>
No, pero sí en cualquier estación con XP, merece la pena, muchísimo...
Haz otra prueba simple, mete en una OU al usaurio, y pon en esa OU de
pruebas la GPO, no filtres nada de usuaros, verifica que funciona.
Alfons
2006-08-25 11:22:28 UTC
Permalink
Hola de nuevo.
Problema solucionado. Tenías razón. Era problema de configuración de
DNS. Ahora funciona correctamente, por fin las GPO se aplican ya a los
usuarios.

Te estoy muy agradecido. Muchas gracias por el apoyo recibido.
Post by Javier Inglés [MS MVP]
No hay problemas entre equipos 2000 y XP socio; pero, si la GPMC te aparece
acía, y la política no se aplica, entonces habría que empezar a revisar
visor de eventos del DC, de la estación, pasar un dcdiag y netdiag para
verificar que esté todo correctamnete ocnfigurado antes; la aprte de
configuración DNS es imprescindible que esté totalmente correcta, si no todo
falla.
Solución de problemas de aplicación de la directiva de grupos
http://support.microsoft.com/kb/250842/
Continúe leyendo en narkive:
Loading...