Como ya sabremos, las GPOs solo se aplican a usuarios y/o equipos pero nos puede venir muy bien el poder filtrar la aplicacion de la GPO por grupos de usuarios o equipos, eso es lo que vamos a ver en este ejemplo
Para el ejemplo he creado la GPO «solo informatica«. Es una GPO ficticia que solo me sirve para el ejemplo y que lo veamos claro. Por supuesto, en este ejemplo queremos que solo se aplique a los usuarios de informatica. Esto lo podemos hacer de varias formas.
Una forma de hacerlo es enlazar la GPO a la OU donde estan ubicados los usuarios o equipos de informatica. Este seria el metodo normal.
Otra forma seria enlazar la GPO en un nivel superior del arbol de OUs, en este caso en la raiz del dominio «neointec.local» y realizar un filtro de manera que se aplique solo a los usuarios del grupo global «informatica» que ya tenemos creado y que contiene unicamente a los usuarios de ese departamento.
Una vez que tenemos esto claro, vamos vinculamos el GPO que he comentado (solo informatica) a la raiz del dominio «neointec.local«. Como podemos ver en la siguiente imagen:
En la proxima imagen vemos las propiedades o configuracion de la pestaña «ambito» de esta GPO. Podemos ver que en «Security Filtering» esta añadido el grupo «Authenticated Users«.
El grupo «Authenticated Users» lo incluira por defecto al crear una GPO. Incluso tendra permisos para leer y aplicar las GPOs.
Bueno, lo que haremos ahora es eliminar ese grupo para que no se aplique la GPO a todos los usuarios autentificados. Como de costumbre, lo seleccionamos, pulsamos boton derecho del raton y seleccionamos «delete«.
Como respuesta al cuadro de dialogo de advertencia, pulsamos el boton «Ok» indicando que si, que queremos elimarlo.
Confirmamos que en estos momentos no hay nada en la parte de «Security Filtering«:
Ahora añadimos el grupo «informatica«.
Este grupo contiene todas las cuentas de usuario de los usuarios de ese departamento.
Bien, confirmamos que se a añadido el grupo.
Ahora, para completar el proceso, nos dirigimos a la pestaña «Delegation«. Pulsamos el boton «advanced«
Teniendo seleccionado el grupo «Informatica«, comprobamos que tiene habilitados (Allow) los check correspondientes a «Read» y «Apply group policy«. Si no los tuviera activados, los activamos.
Esta es una de las formas de que disponemos para filtrar una GPO por grupos globales.
Recordad que la aplicamos solo al grupo «informatica» y hemos quitado a el grupo «Authenticated Users«.
Saludos.
—–
Oscar Abad
http://www.xulak.com – Consultoría informática
Programador WordPress freelance
Los comentarios están cerrados.