Asignar filtros de grupo de seguridad al GPO

Para asegurarse de que el GPO se aplica a los equipos correctos, use el complemento MMC de administración de directiva de grupo para asignar filtros de grupo de seguridad al GPO.

Importante

Esta guía de implementación usa el método de agregar el grupo Equipos de dominio al grupo de pertenencia para el dominio aislado principal una vez completadas las pruebas y está listo para empezar a trabajar en producción. Para que este método funcione, debe impedir que cualquier equipo que sea miembro de la zona de límite o cifrado aplique el GPO para el dominio aislado principal. Por ejemplo, en los GPO del dominio aislado principal, deniegue los permisos Read y Apply directiva de grupo a los grupos de pertenencia para las zonas de límite y cifrado.

 

Credenciales administrativas

Para completar estos procedimientos, debe ser miembro del grupo Administradores de dominio o, de lo contrario, tener permisos delegados para modificar los GPO pertinentes.

En este tema:

Para permitir que los miembros de un grupo apliquen un GPO

Use el procedimiento siguiente para agregar un grupo al filtro de seguridad en el GPO que permite a los miembros del grupo aplicar el GPO.

  1. Abra la consola de administración de directiva de grupo.

  2. En el panel de navegación, busque y haga clic en el GPO que desea modificar.

  3. En el panel de detalles, en Filtrado de seguridad, haga clic en Usuarios autenticadosy, a continuación, haga clic en Quitar.

    Nota

    Debe quitar el permiso predeterminado concedido a todos los usuarios y equipos autenticados para restringir el GPO solo a los grupos que especifique. Si el GPO contiene configuración de usuario y se quita el grupo Usuarios autenticados y se agrega un nuevo filtrado de seguridad mediante un grupo de seguridad que solo contiene cuentas de usuario, el GPO no se puede aplicar. En este blog de Microsoft se mencionan detalles y varias soluciones alternativas.

  4. Haz clic en Agregar.

  5. En el cuadro de diálogo Seleccionar usuario, equipo o grupo , escriba el nombre del grupo cuyos miembros van a aplicar el GPO y, a continuación, haga clic en Aceptar. Si no conoce el nombre, puede hacer clic en Avanzadas para examinar la lista de grupos disponibles en el dominio.

Para evitar que los miembros de un grupo apliquen un GPO

Use el procedimiento siguiente para agregar un grupo al filtro de seguridad en el GPO que impide que los miembros del grupo apliquen el GPO. Esto se usa normalmente para evitar que los miembros de las zonas de límite y cifrado apliquen los GPO para el dominio aislado.

  1. Abra la consola de administración de directiva de grupo.

  2. En el panel de navegación, busque y haga clic en el GPO que desea modificar.

  3. En el panel de detalles, haga clic en la pestaña Delegación .

  4. Haz clic en Opciones avanzadas.

  5. En la lista Nombres de grupo o de usuario , haga clic en Agregar.

  6. En el cuadro de diálogo Seleccionar usuario, equipo o grupo , escriba el nombre del grupo cuyos miembros no podrán aplicar el GPO y, a continuación, haga clic en Aceptar. Si no conoce el nombre, puede hacer clic en Avanzadas para examinar la lista de grupos disponibles en el dominio.

  7. Seleccione el grupo en la lista Nombres de grupo o de usuario y, a continuación, seleccione el cuadro de la columna Denegar para la directiva de grupoLeer y Aplicar.

  8. Haga clic en Aceptary, a continuación, en el cuadro de diálogo Seguridad de Windows, haga clic en .

  9. El grupo aparece en la lista con permisos personalizados .