active-directory – ¿Cómo omitir el procesamiento de bucle invertido de GPO para algunos usuarios?

Pregunta:

Como probablemente sepa, el procesamiento de bucle invertido es una característica de las políticas de grupo de Active Directory que aplica la configuración de usuario en un GPO a cualquier usuario que inicie sesión en computadoras en el alcance del GPO (mientras que el comportamiento estándar sería aplicar la configuración del usuario solo si la cuenta de usuario en realidad se encuentra dentro del alcance del GPO). Esto es útil cuando desea que todos los usuarios que inician sesión en una computadora específica reciban alguna política de usuario, independientemente de dónde se encuentren realmente sus cuentas de usuario en AD.

El problema: cuando el procesamiento de bucle invertido está habilitado, un GPO que contiene la configuración del usuario se aplica a todos los que usan esas computadoras, y no puede evitar esto usando ACL en el GPO, porque en realidad no se aplica a los usuarios , sino a las computadoras .

La pregunta: ¿cómo se puede omitir el procesamiento de bucle invertido para usuarios específicos que necesitan iniciar sesión en esas computadoras pero no deben estar sujetos a esas configuraciones de política?

Caso en cuestión: hay varios servidores de terminales en los que se utilizan GPO con procesamiento de bucle invertido para imponer fuertes restricciones de usuario a todos los que inician sesión en ellos (básicamente solo deberían poder ejecutar un montón de aplicaciones aprobadas por la empresa); pero esto se aplica incluso a los administradores de dominio , que, por lo tanto, no pueden ni siquiera iniciar un símbolo del sistema o abrir el administrador de tareas. En este escenario, ¿cómo puedo decirle a AD que no aplique esas configuraciones si el usuario que inicia sesión pertenece a un grupo específico (como los administradores de dominio)? Alternativamente, incluso la solución opuesta ("aplicar solo esas configuraciones a los usuarios que pertenecen a un grupo específico") estaría bien.

Pero, por favor, recuerde que aquí estamos hablando de procesamiento de bucle invertido . Las políticas se aplican a las computadoras , y la configuración de usuario dentro de ellas se aplica a los usuarios solo porque están iniciando sesión en esas computadoras (sí, sé que es confuso, el procesamiento de bucle invertido es una de las cosas más difíciles de corregir sobre las políticas de grupo).

Respuesta:

Creo que la solución sería el filtrado WMI (así lo hice en mi lugar).

Creas un filtro WMI que detecta las estaciones de trabajo que deseas.
Usted crea un GPO solo con la configuración del usuario y con filtrado de seguridad.
Junte los dos y coloque el GPO en el contenedor de usuarios.

Por tanto, el filtrado WMI especifica el ordenador al que se aplica y el filtrado de seguridad a los usuarios a los que se aplica.

Y suelta el loopback.
Le dará más dolores de cabeza de los que esperaba, ya que no se aplica solo al GPO especificado en el que está configurado, sino a todas las políticas aplicadas a las computadoras.

Actualizar
Si tiene kb3163622 instalado en sus estaciones de trabajo, puede hacer lo mismo utilizando solo grupos de seguridad.
Esta actualización cambia la forma en que se aplican las políticas de usuario.
A partir de ahora, las políticas de usuario se aplican en realidad tanto en el contexto de seguridad de la computadora como del usuario.
Entonces, si coloca el filtrado de seguridad de ese GPO en las computadoras y los usuarios a los que desea que se aplique, eso hará el mismo truco que el WMI (suponiendo que no vaya a realizar una consulta compleja).

Leave a Comment

Your email address will not be published. Required fields are marked *

Scroll to Top

web tasarım