Lo primero que debemos crear es una Unidad Organizacional que contenga nuestros usuarios de Terminal.
Hagamos un alto aquí y diferenciemos entre políticas que se aplican a nivel de equipo y políticas que se aplican a nivel de usuario.
- Las de equipo afectan a todos los usuarios que inicien sesión en ese equipo en particular.
- las de usuario afectan a los usuarios, independiente de en que equipo inicien sesión.
Si vamos a aplicar las políticas a nivel de equipo en una OU, debemos mover las cuentas de equipo a este contenedor, de lo contrario no aplican.
Si vamos a aplicar las políticas a nivel de usuario en una OU, debemos mover las cuentas de usuario a este contenedor, de lo contrario no aplican.
Aquí juega un papel importante algo tan simple como los nombres de equipo y nombres de usuario. Recomiendo que los nombres de equipos sean totalmente diferentes a los nombres de los usuarios. Por ejemplo:
Error:
nombre de equipo: CARLOS
nombre de usuario: Carlos
Correcto:
nombre de equipo: PCCONTABILIDAD
nombre de usuario: Contabilidad
Esto es para que cuando se tenga que aplicar políticas a nivel de equipo y a nivel de usuario dentro del mismo contenedor (OU), podamos mover ámbas cuentas sin problema.
Ahora, lo normal es que pensemos en crear una OU y movamos allí las cuentas de usuario a las que vamos a aplicar las políticas, para denegar cuando inicien sesión en el Terminal Server, pero, aquí hay un problema y es que estas políticas también aplicarán cuando inicie sesión en su propia estación dentro de la red.
La solución a esto es crear las políticas en el contenedor del Terminal Server ya que si se intenta hacer un link de GPO de la que aplica en el OU de usuario, esta tampoco se ejecutará, ya que el objeto usuario no existe en el contenedor de Terminal Server.
Al crear la GPO en el contenedor de Terminal Server debemos activarle el Loopback Processing Mode y configurarlo para hacer Replace.
Con esto realmente lo que estamos haciendo es que cualquier cambio que hagamos a nivel de usuario en la GPO, afectará a todos los usuarios que inicien sesión en este Terminal Server, aún cuando el objeto usuario no se encuentre en el contenedor. El Replace se configura para que apliquen las políticas configuradas a nivel de usuario creadas en este contenedor por encima de las que normalmente esten configuradas para este usuario.
El siguiente punto a seguir es filtrar la GPO para que no afecte a algunos usuarios o a administradores por ejemplo, que inicien sesión en el Terminal Server:
Yo crearía un grupo con cualquier nombre y a este agregaría al administrador y a los usuarios que quiero que no afecte la política. Vamos al GPO Manager > seleccionamos el Link del GPO en el contenedor de Terminal Server > Delegación > boton Avanzado > agregar > agregamos el grupo y hacemos clic en 'Denegar' para 'Aplicar política de grupo'.
Así resolvemos fácilmente el problema de cómo aplicar correctamente las políticas en los servidores de Terminal.
---
Walter J. Taborda
MCP, MCSA / MCSE Windows Server 2003
VS Visión Sistemas
Itagui, Antioquia, Colombia
tel: 281 52 44 - celular: 313 797 53 33
walter.taborda@NOSPAMvisionsistemas.com.co
www.visionsistemas.com.co/
.png)
2 comentarios:
Muy buena la explicación. Se agradece la sencillez.
Muchas gracias.
Con mucho gusto Flector. :-)
Publicar un comentario en la entrada