Juk
07/12/2015, 12:39
Buenos días.
Tengo un problema con AD que escapa a toda lógica y bla bla bla. El caso es que llevo pegándome días con ello y no soy capaz de resolverlo.
Tengo un dominio y un subdominio. parent.local y child.parent.local
El subdominio child.parent.local es algo especial y quiero que solo los usuarios de x grupo del dominio principal accedan a las máquinas de dicho subdominio.
Es decir, tengo al usuario papa (hay más) del dominio principal que quiero que acceda a los equipos del subdominio.
La lógica GPOniana me dice que cree una GPO en el dominio hijo y prohiba el logon local a todos los usuarios del dominio padre (de forma predeterminada si pueden acceder). Bien, hasta aqui todo funciona, con esta política solo los usuarios del subdominio pueden iniciar sesión en el dominio hijo. Ahora se supone que si en la propia política yo agrego un grupo local que contenga los usuarios que quiero que accedan del dominio padre (como el usuario papa) y le deniego el permiso de lectura y aplicación de políticas, esos usuarios podrán iniciar sesión sin problemas.
NO funciona ¬¬! He probado agregando a los usuarios manualmente a la politica denegando el acceso (en delegación, claro). Es más, cuando reviso los permisos efectivos del usuario hipotetico papa en la politica, efectivamente veo que no tiene permisos para aplicar la política, y aún así no puede iniciar sesión.
Llevo con esto días y días, he hecho mil pruebas y 3 mil y no soy capaz....
¿Alguna idea efectiva? Tengo el laboratorio montado y eso, he probado de todo. me gustaría saber si alguien se ha encontrado con este supuesto.
Gracias!!!! y perdón por el tocho.
Tengo un problema con AD que escapa a toda lógica y bla bla bla. El caso es que llevo pegándome días con ello y no soy capaz de resolverlo.
Tengo un dominio y un subdominio. parent.local y child.parent.local
El subdominio child.parent.local es algo especial y quiero que solo los usuarios de x grupo del dominio principal accedan a las máquinas de dicho subdominio.
Es decir, tengo al usuario papa (hay más) del dominio principal que quiero que acceda a los equipos del subdominio.
La lógica GPOniana me dice que cree una GPO en el dominio hijo y prohiba el logon local a todos los usuarios del dominio padre (de forma predeterminada si pueden acceder). Bien, hasta aqui todo funciona, con esta política solo los usuarios del subdominio pueden iniciar sesión en el dominio hijo. Ahora se supone que si en la propia política yo agrego un grupo local que contenga los usuarios que quiero que accedan del dominio padre (como el usuario papa) y le deniego el permiso de lectura y aplicación de políticas, esos usuarios podrán iniciar sesión sin problemas.
NO funciona ¬¬! He probado agregando a los usuarios manualmente a la politica denegando el acceso (en delegación, claro). Es más, cuando reviso los permisos efectivos del usuario hipotetico papa en la politica, efectivamente veo que no tiene permisos para aplicar la política, y aún así no puede iniciar sesión.
Llevo con esto días y días, he hecho mil pruebas y 3 mil y no soy capaz....
¿Alguna idea efectiva? Tengo el laboratorio montado y eso, he probado de todo. me gustaría saber si alguien se ha encontrado con este supuesto.
Gracias!!!! y perdón por el tocho.