Si desea leer las otras partes de esta serie de artículos, vaya a:
- 10 Razones Principales Por Las Que la Directiva de Grupo No Se Aplica (Parte 1)
- 10 Razones Principales por las Que la Directiva de Grupo No se Aplica (Parte 2)
Introducción
En nuestras dos primeras entregas de este tema, analizamos 7 razones por las que la directiva de grupo podría no funcionar correctamente en su entorno. Mirando hacia atrás a esas 7 razones, se expusieron algunos factores clave sobre la Política de grupo. En primer lugar, la directiva de grupo se basa en la autenticación adecuada a través de DNS a los controladores de dominio, el uso de Kerberos para el protocolo de autenticación, el alcance de la administración y el uso del tipo de objeto correcto para cada configuración de un GPO. Luego, analizamos la precedencia de GPO (LSDOU) y el filtrado de seguridad. En esta entrega, veremos sin anulación, herencia de bloques y filtros WMI.
Forzado (Sin anulación) se establece en GPO
De forma predeterminada, todos los GPO configurados no tienen ningún filtro de seguridad, Forzado (Sin anulación), herencia de bloques, etc. Sin embargo, puede haber un momento en que alguien configure una de estas características. Analizamos el filtrado de seguridad, pero ahora estamos viendo Forzado (Sin anulación). Forzado (Sin anulación) es una configuración que se impone a un GPO, junto con todas las configuraciones del GPO, de modo que cualquier GPO con mayor prioridad no «gana» si hay una configuración en conflicto.
Es importante entender que la herencia de GPO funciona con LSDOU (Local, sitio, dominio, OU). Una vez que no se establece ninguna anulación en un GPO, este concepto de precedencia se niega. Enforced (No override) establece que el GPO en cuestión no debe ser sobrescrito por ningún otro GPO (por defecto, por supuesto).
Un buen ejemplo aquí es establecer la Directiva de dominio predeterminada para Forzar (Sin anulación), de modo que la configuración de la Directiva de contraseñas que contiene no sea reemplazada por un GPO en el dominio para usuarios de dominio o en una unidad organizativa para usuarios SAM locales en equipos ubicados en la unidad organizativa. Puede ver que se establece en la Directiva de dominio predeterminada en la Figura 1.
Figura 1:
Obligatorio (Sin anulación) se establece para la Directiva de dominio predeterminada.
Hay algunas cosas a tener en cuenta al configurar Enforced (No override). En primer lugar, el GPO se establecerá en la precedencia más alta desde la ubicación donde el GPO está vinculado a través de la estructura de anuncios. En segundo lugar, si un GPO de mayor prioridad (por ejemplo, en un nivel de unidad organizativa en nuestro ejemplo) también se establece en Forzado (Sin anulación), no tendrá mayor prioridad que el GPO vinculado más alto en la estructura de anuncios. De este modo, un administrador de la unidad organizativa no puede establecer que un GPO tenga mayor prioridad que un administrador de dominio.
La herencia de bloques se establece en el nodo de Active Directory
Otra característica, aunque no se sugiere usar regularmente, es la capacidad de bloquear la herencia del procesamiento de directivas de grupo estándar a través de Active Directory. Como se ha mencionado muchas veces en este conjunto de artículos, la precedencia del LSDOU se respeta para la aplicación de directivas de grupo y la resolución de conflictos.
La función de herencia de bloques se establece en el nodo de dominio o en una unidad organizativa. Aunque los sitios pueden tener un GPO vinculado, el único GPO que tiene una precedencia más débil que el GPO vinculado al sitio es local y los GPO locales no se pueden bloquear con esta función.
Lo que hace la característica es bloquear todos los GPO de precedencia más débiles asociados con el nivel en el que se establece la configuración de Herencia de bloques. Por lo tanto, si la herencia de bloques se establece en una unidad organizativa de segundo nivel, todos los GPO establecidos en el dominio y la unidad organizativa de nivel superior se bloquearían, sin afectar a los usuarios y equipos ubicados en la unidad organizativa de segundo nivel. Solo los GPO vinculados a la unidad organizativa de segundo nivel tendrían algún efecto. Por supuesto, si hubiera más niveles de unidades organizativas bajo el segundo nivel uno, estos GPO también serían efectivos, solo que no aquellos que tienen una precedencia más débil. Puede ver cómo esto afecta a los GPO mirando las Figuras 2 y 3. La Figura 2 no tiene un conjunto de herencia de bloques, mientras que la Figura 3 tiene la configuración establecida en la unidad organizativa de segundo nivel.
Figura 2:
Precedencia y herencia de GPO estándar en la unidad organizativa de segundo nivel.
Figura 3:
La herencia de bloques se establece en la unidad organizativa de segundo nivel.
El filtro WMI es incorrecto
Los filtros WMI son una forma potente de controlar qué objetos (usuarios u ordenadores) reciben la configuración en un GPO. El filtro WMI es un archivo independiente que está vinculado a uno o más GPO. Cuando se evalúa la configuración de directiva de grupo de cada GPO, el filtro WMI determinará si las consultas incluidas en el filtro WMI vuelven a ser positivas o negativas. Si es positivo, cumple con los criterios del filtro WMI, se aplicarán los ajustes del GPO al que está vinculado el filtro WMI.
Por supuesto, puede ver dónde puede haber muchas áreas en este proceso en las que el filtro WMI hará que el GPO parezca fallar. En primer lugar, si el archivo de filtro WMI se altera o elimina, pero el enlace del filtro WMI permanece intacto, no se cumplirá el filtro WMI, por lo que no se aplicarán los ajustes del GPO. A continuación, si el filtro WMI tiene algún error sintáctico que haga que la consulta falle, la configuración del GPO tampoco se aplicará. Por último, si la consulta está mal diseñada o la lógica para el éxito de la consulta WMI es incorrecta, no se aplicarán los ajustes de GPO.
Solo use filtros WMI donde no haya otras opciones, ya que los filtros WMI tienen muchas áreas donde pueden negar la aplicación de todas las configuraciones en el GPO, además, los filtros WMI son muy lentos para evaluar y aplicar. Incluso en la Segmentación a nivel de elemento (ILT) ubicada en las Preferencias de Directiva de grupo, use los filtros WMI con moderación, ya que dentro de la ILT también pueden tener problemas.
Resumen
En esta serie de artículos analizamos diez formas diferentes en que la Directiva de grupo puede fallar, o al menos parecer que está fallando. En realidad, la propia Directiva de grupo rara vez falla. Lo que normalmente falla es la configuración del GPO, los enlaces, la estructura de la directiva de grupo, etc. que son incorrectos, lo que hace que el GPO y la configuración no se apliquen a los destinos deseados. Siempre sugiero que volver a los conceptos básicos y fundamentales de la Política de grupo ayudará a rastrear dónde están arraigados los problemas principales. Además, encuentro que las configuraciones básicas y fundamentales causan la mayoría de los problemas con las directivas de grupo. Como regla general, asegúrese de usar la estructura de la unidad organizativa para implementar la configuración de directiva de grupo, de modo que todos los objetos de la unidad organizativa reciban la configuración. Cuando intenta modificar los permisos predeterminados, la aplicación y la precedencia de la directiva de grupo, es aquí donde los problemas comienzan a acumularse. Se sugiere, solo en situaciones muy raras, que use funciones como filtrado de seguridad, Herencia de bloques, Cumplimiento y filtros WMI. Mantenerse alejado de estas opciones y características le ayudará a mantener su entorno de directivas de grupo más simple, estable y fácil de solucionar cuando se producen problemas reales.
Si desea leer las otras partes de esta serie de artículos, vaya a:
- 10 Razones Principales Por Las Que la Directiva de Grupo No Se Aplica (Parte 1)
- 10 Razones Principales por las que la Directiva de Grupo No Se Aplica (Parte 2)
informar de este anuncio