miércoles, 28 de diciembre de 2016

GPOs de usuario no se aplican desde las últimas actualizaciones de servidores


Hola.

En concreto, seguro que estáis teniendo problemas en cuanto la aplicación de GPOs desde Junio, mes en el que se aplicó la actualización: MS16-072.

Problema

El problema, aunque es mas bien un cambio decidido en MSFT, afecta a GPOs en las que se ha eliminado el grupo "Usuarios autenticados" buscando que la GPO solo aplique a un grupo de usuarios concreto. Algo comunmente utilizado en las empresas para la distribución de configuraciones específicas, unidades de red, impresoras, etc.

Si no tenéis la configuración que aparece en la siguiente captura  y habéis añadido un grupo de usuarios en sustitución a Authenticated Users, podemos asegurar que vuestras GPOS no se están aplicando.



¿Cómo identificar y encontrar GPOs que no se están aplicando?

Análisis posible 1
Podéis utilizar el típico gpresult /h new-report.html y ver qué GPOs devuelven un “Reason Denied: Inaccessible, Empty or Disabled”

Análisis posible 2
para tener una lista de GPOs ilegibles por los usuarios.

Solución 1

Como solución y aunque tengáis a un grupo concreto con permiso de "Read" y permiso de "Apply group Policy" pasa por añadir también al grupo "Authenticated Users" solo con permiso de "Read". Esto permitirá que la aplicación de la GPO seguirá siendo selectiva y única para el grupo concreto y no se aplicará a todos los usuarios del dominio.

Solución 2 (La mas aconsejada).

Para solucionar esta incidencia, debes añadir el grupo "Domain Computers" con permiso de "Read".  Por distintas razones, esta solución es la mas aconsejada.

Fuente:
https://support.microsoft.com/en-us/kb/3163622