En la nota anterior “Directivas de Grupo (GPO) – Herencia, Forzar y Resolución de Conflictos” hemos visto algunas opciones que disponemos para aplicar las configuraciones de una GPO, ya sea en la forma normal, cortando la herencia o forzando la aplicación, como así también cómo se resuelven los conflictos de configuraciones entre diferentes GPOs aplicadas. En esta nota veremos otra opción que nos pemite seleccionar a qué usuario o grupo de usuarios aplicar o no una Directiva de Grupo (GPO)
La aplicación de Directivas de Grupo a grupos de seguridad de Active Directory ha resultado muy confusa para los que hablamos español, ya que la traducción de “Group Policy Object” a “Objeto Directiva de Grupo” a mi entender no es correcta.
Cualquiera que tenga nociones básicas de inglés no debería tener dudas en cuanto a la traducción de los tres términos (“Group Policy Object”), pero el problema es que de acuerdo al ordenamiento de estas palabras su significado puede ser diferente. Está traducido oficialmente como “Objeto Directiva de Grupo” por lo cual muchos han interpretado, erróneamente, que se aplican a Grupos, y en realidad aunque se pueda hacer, no es de la forma natural e intuitiva. Una mejor traducción creo que hubiera sido “Objeto Conjuto de Directivas” u “Objeto Conjunto de Configuraciones”.
Porque para que una GPO se aplique a usuarios o máquinas hay que enlazarla a Sitios, Dominios o Unidades Organizativas que afecte a las cuentas, no a los grupos. Pero de todas formas, y con un poco de habilidad y configuración, como podremos ver en esta nota, se puede lograr que una GPO se aplique a todas las cuentas salvo excepciones, o a la inversa, que se aplique sólo a determinadas cuentas.
Lo importante a tener en cuenta es que la GPO se aplique al contenedor donde están las cuentas, luego tenemos dos opciones
- Denegar que a un usuario o grupo le aplique la GPO
- Permitir que se aplique a un usuario o grupo, y no a todos los afectados por la GO
La infraestructura que utilizaré en esta nota, es la misma que estoy usando desde la nota anterior “Directivas de Grupo (GPO) – Herencia, Forzar y Resolución de Conflictos”.
Como primera configuración para esta nota, y preparar lo que necesitamos ahora, debemos eliminar la GPO llamada “ActivarPanelControl” que creamos en la nota anterior
Exceptuar a una cuenta o grupo de aplicación de una GPO
Para esto vamos a trabajar sobre la GPO “QuitarPanelControl” que está enlazada a la Unidad Organizativa “Usuarios1” como quedó de la nota anterior
Para que una GPO se aplique a una cuenta, esta cuenta debe tener permisos sobre la GPO, y hay dos permisos que controlan esto:
- “Read” (Lectura): que la cuenta pueda leer la configuración de la GPO
- “Apply Group Policy” (Aplicar Directiva de Grupo)
Debemos recordar que cada permiso tiene las opciones “Allow” (Permitir), o “Deny” (Denegar), y esta última siempre prevalece Por lo tanto si a todo un conjunto de usuarios se le está aplicando una GPO (“Allow”) pero uno además tiene denegación (“Deny”), esta última prevalecerá, y por lo tanto quedará exceptuado. En esta nota por simplicidad lo haré directamente con cuentas de usuario, pero como siempre lo recomendable es usar para permisos los grupos de seguridad.
Por lo que hemos dicho, si queremos exceptuar a “Usuario Uno” de la aplicación de la GPO, simplemente deberíamos denegarle el permiso “Apply Group Policy”. La aplicación se debe a que por omisión este permiso de “Apply Group Policy lo tiene el grupo “Authenticated Users” (Usuarios Autentificados) y todos los usuarios y máquinas pertenecen a este grupo especial.
Debemos acceder a la ficha “Delegation” de la GPO y agregar la cuenta o grupo al cual le denegaremos el permiso.
Debemos acceder a la ficha “Delegation” de la GPO y agregar la cuenta o grupo al cual le denegaremos el permiso.
No preocuparse por ahora, dejar por omisión
Ahora sí, vamos a agregar el permiso necesario de denegación
Observen que queda como permiso “Custom”
Si vamos a CL1, donde está “Usuario Uno” con sesión iniciada y actualizamos las GPOs (GPUPDATE.EXE), ya está exceptuado y puede acceder al Panel de Control.
En cambio en CL2 donde está “User Dos” la GPO se sigue aplicando
Eliminemos el permiso de “User Uno” de la GPO que recién hemos hecho y dejemos todo “limpio” así pasamos a la segunda parte
Aplicar una GPO solamente a un grupo determinado.
Como en este caso se la aplicaremos a grupo de seguridad, en este caso crearé un grupo que yo he llamado “Grupo2”, y que contiene la cuenta de “User Uno”. Yo la he creado en la Unidad Organizativa “Usuarios1”, pero podría estar creado el grupo en cualquiera de los contenedores del Dominio, es totalmente indistinto
Lo que debemos hacer en este caso, es darle al grupo creado los permisos de Lectura (“Read”) y Aplicar GPO (“Apply Group Policy”) para que se aplique, y quitar al grupo “Authenticated Users” (Usuarios Autentificados) para que no se aplique a todos. Aclaración, debemos quitar, y no denegar, ya que si lo hiciéramos esta denegación tendría prioridad sobre el permitido
Agregamos al grupo
Y vamos a modificar los permisos
Y finalmente eliminamos de los permisos a “Authenticated Users” (Usuarios Autentificados)
En CL1 debemos cerrar y volver a abrir sesión con “User Uno” para que se actualicen sus credenciales de acceso (“Access Token”) con la nueva membresía en “Grupo2.
Esto lo podemos verificar con el comando “WHOAMI /GROUPS”. Y por supuesto además forzando la actualización de GPOs
Como podemos comprobar, a “User Uno” que pertenece al “Grupo2” le está aplicando la configuración
En cambio, repitiendo el mismo procedimiento en CL2, con “User Dos” no le está aplicando la configuración, pues este usuario no es miembro de “Grupo2”
En cada uno de los clientes podemos verificar la membresía en grupos y las GPOs que se están aplicando utilizando el comando GPRESULT /R
Dejaré este tema acá. En estas dos notas hemos visto las formas más comunes para configurar la aplicación de GPOs a usuarios, y que serán útiles en la amplia mayoría de los casos, pero no son las únicas opciones, hay dos más.
La aplicación de GPOs también se puede configurar a través de filtros WMI, generalmente basados en la configuración hardware del equipo, y actualmente casi totalmente reemplazados mediante “Preferences”, y también y especialmente para servidores de Escritorio Remoto con “Loopback Processing Mode” (Procesamiento de Bucle Invertido).
Esta última opción la he desarrollado e implementado en la nota: “Remote Desktop – Escritorio Remoto: Limitando a los Usuarios con Directivas de Grupo (Group Policies – GPOs)”
0 comentarios:
Publicar un comentario