Me tope con un problema, en la empresa tenemos instalado windows 2003 y el directorio activo (active directory) por medio del cual manejamos, usuarios, equipos permisos etc aqui se puede ver como instalarlo y para que sirve, el enlace no lo he leido asi que no puedo asegurar que tan detallado sea:
http://www.microsoft.com/latam/technet/productos/windows/windowsserver2003/domcntrl.mspx
En fin el problema es que en la empresa no se le dio mucho tiempo al diseño de grupos y políticas asociadas por lo que para ahorrar tiempo creo crearon una política de grupo general y la implementaron a todos los usuario, lo cual por supuesto en mi opinión es una mala practica, creo que se debería invertir determinado tiempo en diseñar la organización jerárquica y asignar permisos correspondientes y acordes al puesto para ello también se puede apoyar en el organigrama de la empresa y si bien se invierte un tiempo (valioso) relativamente alto al momento de implementar el directorio luego se ahorra tiempo el momento de solicitudes de cambios en los permisos y/o perfiles, departamentos, etc. de los usuario etc.
Bueno el problema era que como existe un solo grupo de políticas para toda la organización que es relativamente grande y se necesitaba cambiar un permiso a únicamente dos usuarios, lo que hicimos aun que no se si es lo correcto (posiblemente lo correcto hubiese sido arreglar las distintas jerarquías y permisos) fue lo siguiente:
1. Nos dimos cuenta que por default no se habían instalado componentes para la administración de políticas de grupo (GPMC) mas que las que se traen integradas en la herramienta de explorador de active directory por lo que dispusimos a descargar una herramienta especifica para este propósito proporcionada por Microsoft, en el siguiente enlace se puede obtener:
http://www.microsoft.com/downloads/es-es/details.aspx?FamilyID=0a6d4c24-8cbd-4b35-9272-dd3cbfc81887
2. Se procedió a la instalación de la herramienta y sorpresa ahora las pocas opciones de admistracion de GPO's habian desaparecido del explorador del active directory pero no hay problema ahora estan todas en la herramienta especifica para esto.
3. Creamos una Unidad organizacional en el explorador del AD con click derecho, luego en nuevo, luego en unidad organizativa le colocamos un nombre.
4. Desde el GPMC bloqueamos la herencia de directivas, vamos al grupo que acabamos de crear damos click derecho y activamos bloquear herencia, esto para que las politicas generales no se aplicaran a este grupo.
5. Lo siguiente es copiar al GPO global a una nueva politica esto, segun la bibliografia se hacia con un simple click derecho copiar y luego pegar pero como se mira en la figura anterior no me aparece por ningun lado el copiar y mucho menos pegar algo que me extraño ya que en la pagina de microsoft dicen que esta pero bueno como a falta de pan tortillas como dicen en mi pueblo lo procedi a hacer usando los scripts que incluia el GPMC. con la instruccion CopyGPO.wsf,
Hay que tomar en cuenta que como es un script se usa la instrucción Cscript seguida del nombre del script y su extensión el nombre o id del GPO fuente y el nombre del GPO destino en este caso lo colocamos entre comillas ya que el nombre del GPO fuente tenia un espacio en blaco, no importa si el GPO destino no existe ya que este escript lo crea y le transfiere las propiedades y settings del GPO original
6. Despues de creada la nueva politica vamos GPMC damos click derecho sobre el grupo al cual le estamos haciendo cambios (ya tiene bloqueada la herencia de directiva) y vinculamos una nueva directiva dando click derecho y vincular directiva
En este cuadro de dialoga ya sale la politica que acabamos de crear la escogemos y le damos aceptar
7. ahora simplemente tenemos que modificar las políticas de este grupo para adaptarla a nuestras necesidades sin que afecte a toda la organizacion
http://www.microsoft.com/latam/technet/productos/windows/windowsserver2003/domcntrl.mspx
En fin el problema es que en la empresa no se le dio mucho tiempo al diseño de grupos y políticas asociadas por lo que para ahorrar tiempo creo crearon una política de grupo general y la implementaron a todos los usuario, lo cual por supuesto en mi opinión es una mala practica, creo que se debería invertir determinado tiempo en diseñar la organización jerárquica y asignar permisos correspondientes y acordes al puesto para ello también se puede apoyar en el organigrama de la empresa y si bien se invierte un tiempo (valioso) relativamente alto al momento de implementar el directorio luego se ahorra tiempo el momento de solicitudes de cambios en los permisos y/o perfiles, departamentos, etc. de los usuario etc.
Bueno el problema era que como existe un solo grupo de políticas para toda la organización que es relativamente grande y se necesitaba cambiar un permiso a únicamente dos usuarios, lo que hicimos aun que no se si es lo correcto (posiblemente lo correcto hubiese sido arreglar las distintas jerarquías y permisos) fue lo siguiente:
1. Nos dimos cuenta que por default no se habían instalado componentes para la administración de políticas de grupo (GPMC) mas que las que se traen integradas en la herramienta de explorador de active directory por lo que dispusimos a descargar una herramienta especifica para este propósito proporcionada por Microsoft, en el siguiente enlace se puede obtener:
http://www.microsoft.com/downloads/es-es/details.aspx?FamilyID=0a6d4c24-8cbd-4b35-9272-dd3cbfc81887
2. Se procedió a la instalación de la herramienta y sorpresa ahora las pocas opciones de admistracion de GPO's habian desaparecido del explorador del active directory pero no hay problema ahora estan todas en la herramienta especifica para esto.
3. Creamos una Unidad organizacional en el explorador del AD con click derecho, luego en nuevo, luego en unidad organizativa le colocamos un nombre.
4. Desde el GPMC bloqueamos la herencia de directivas, vamos al grupo que acabamos de crear damos click derecho y activamos bloquear herencia, esto para que las politicas generales no se aplicaran a este grupo.
5. Lo siguiente es copiar al GPO global a una nueva politica esto, segun la bibliografia se hacia con un simple click derecho copiar y luego pegar pero como se mira en la figura anterior no me aparece por ningun lado el copiar y mucho menos pegar algo que me extraño ya que en la pagina de microsoft dicen que esta pero bueno como a falta de pan tortillas como dicen en mi pueblo lo procedi a hacer usando los scripts que incluia el GPMC. con la instruccion CopyGPO.wsf,
Hay que tomar en cuenta que como es un script se usa la instrucción Cscript seguida del nombre del script y su extensión el nombre o id del GPO fuente y el nombre del GPO destino en este caso lo colocamos entre comillas ya que el nombre del GPO fuente tenia un espacio en blaco, no importa si el GPO destino no existe ya que este escript lo crea y le transfiere las propiedades y settings del GPO original
6. Despues de creada la nueva politica vamos GPMC damos click derecho sobre el grupo al cual le estamos haciendo cambios (ya tiene bloqueada la herencia de directiva) y vinculamos una nueva directiva dando click derecho y vincular directiva
En este cuadro de dialoga ya sale la politica que acabamos de crear la escogemos y le damos aceptar
7. ahora simplemente tenemos que modificar las políticas de este grupo para adaptarla a nuestras necesidades sin que afecte a toda la organizacion
Comentarios