Compartir a través de


No se puede aplicar la configuración de directiva de grupo de usuarios si los objetos de equipo no tienen permisos de lectura de GPO

En este artículo se proporciona una solución a un problema en el que no se puede aplicar la configuración de directiva de grupo a los usuarios debido a un problema de permisos.

Se aplica a: Windows Server (todas las versiones compatibles), Cliente de Windows (todas las versiones compatibles)

Síntomas

Después de quitar los permisos predeterminados para el grupo Usuarios autenticados de uno o varios objetos de directiva de grupo (GPO), no se puede aplicar correctamente la configuración de directiva de grupo a los usuarios.

Causa

Cuando un usuario inicia sesión en Windows, Windows recupera la configuración de directiva de grupo de usuarios que se aplica a ese usuario. Antes de actualizar la seguridad MS16-072: Actualización de seguridad para la directiva de grupo: 14 de junio de 2016, Windows usó el contexto de seguridad del usuario para esta operación. Esta actualización de seguridad cambió esta funcionalidad para que Windows use el contexto de seguridad del equipo para recuperar la configuración de directiva de grupo de usuarios.

Debido a este cambio, la cuenta de equipo debe tener permisos de lectura para GPO que se aplican al usuario que ha iniciado sesión. De forma predeterminada, el grupo Usuarios autenticados tiene permisos de directiva de grupo Leer y Aplicar para todos los GPO del dominio. Todas las cuentas de equipo del dominio pertenecen al grupo Usuarios autenticados y heredan estos permisos.

Si los permisos predeterminados están en vigor, la pestaña Ámbito de la Consola de administración de directivas de grupo (GPMC) enumera Usuarios autenticados en la sección Filtrado de seguridad , como se muestra en la captura de pantalla siguiente.

Captura de pantalla que muestra la sección Filtrado de seguridad de la pestaña Ámbito de G.P.M.C.

Además, en la pestaña Delegación se muestra el permiso permitido para usuarios autenticados como leídos (del filtrado de seguridad). Este permiso corresponde a los permisos de Windows, leer y aplicar la directiva de grupo.

Captura de pantalla que muestra los permisos predeterminados del grupo Usuarios autenticados, al que se tiene acceso en la pestaña Delegación de G.P.M.C.

Algunos administradores quitan usuarios autenticados del filtrado de seguridad para mejorar la seguridad o para usar grupos de seguridad más pormenorizados para el filtrado. Esta acción quita los permisos leer y aplicar directiva de grupo del grupo y de todos sus miembros. Para que los GPO de usuario funcionen correctamente, debe restaurar el permiso De lectura a los objetos de equipo.

Nota:

Este problema normalmente no afecta a los usuarios que usan controladores de dominio para iniciar sesión en un dominio. De forma predeterminada, el grupo integrado Controladores de dominio de empresa tiene el permiso De lectura para todos los GPO del dominio. Por lo tanto, los controladores de dominio no se basan en el grupo Usuarios autenticados para este permiso.

Solución

Si quita el permiso Leer (del filtrado de seguridad) de los usuarios autenticados, debe usar un método alternativo para asignar el permiso De lectura a los objetos de equipo:

  • Asigne permiso de lectura al grupo Usuarios autenticados.

    Este enfoque restaura el permiso De lectura sin restaurar el permiso Aplicar directiva de grupo.

  • Asigne permiso de lectura al grupo Equipos de dominio.

    Todos los equipos del dominio pertenecen al grupo Equipos de dominio de ese dominio.

  • Asigne permiso de lectura a objetos de equipo específicos o a un grupo de seguridad al que pertenecen los equipos.

Importante

Siempre que modifique los permisos de directiva de grupo, asegúrese de que los objetos de usuario, los objetos de equipo o los grupos a los que pertenecen esos objetos no se deniegan explícitamente el acceso a los GPO. Una denegación explícita siempre invalida un permiso que, de lo contrario, permitiría el acceso.

Para resolver el problema, siga estos pasos:

  1. En GPMC, en la pestaña Delegación , seleccione Agregar.

  2. En el cuadro de diálogo Agregar grupo o usuario , seleccione el grupo o el objeto que desee. A continuación, en el cuadro Permisos , seleccione Leer.

  3. Seleccione Aceptar.

Después de finalizar estos pasos, en la pestaña Delegación se muestra el permiso permitido para el objeto o grupo seleccionado como Read en lugar de Read (from Security Filtering). Esta diferencia indica que el objeto o grupo no tiene el permiso Aplicar directiva de grupo.

Captura de pantalla que muestra los permisos reducidos del grupo Usuarios autenticados, al que se accede desde la pestaña Delegación de G.P.M.C.

Escenario de ejemplo

Considere un GPO que defina solo la configuración del usuario. Quiere aplicar el GPO a usuarios específicos que pertenecen a un grupo denominado contoso_user_group. En GPMC, en la pestaña Ámbito del GPO, agregue contoso_user_group a la lista Filtrado de seguridad . Para limitar el GPO solo a los usuarios de ese grupo, quite usuarios autenticados de la lista.

Para probar esta configuración, se ejecuta gpresult /h gpresult.html en el equipo de un usuario y, a continuación, se abre el archivo gpresult.html para ver los resultados de la directiva. En este escenario, el informe indica un error (que se muestra en la parte inferior de la captura de pantalla siguiente).

Captura de pantalla que muestra el informe de directiva de grupo resultante de un equipo cliente que no tiene los permisos correctos.

Para resolver este error, debe conceder el permiso De lectura a los objetos de equipo que representan los equipos que usan los miembros de contoso_user_group para iniciar sesión. En este escenario, podría crear un grupo denominado contoso_computer_group y agregar los equipos afectados a ese grupo. A continuación, mediante el procedimiento de la sección "Resolución", puede usar la pestaña Delegación de GPMC para asignar el permiso de lectura a ese grupo. Una vez realizados estos cambios, en la pestaña Delegación se enumeran los permisos, como se muestra en la captura de pantalla siguiente.

Captura de pantalla que muestra los permisos correctos en la pestaña Delegación para el escenario de ejemplo.