Recientemente hemos estado limpiando nuestro dominio, directorio activo, políticas de grupo, etc. Nuestra zona DNS MCSDCS estaba en el lugar equivocado, nuestro SYSVOL no se estaba replicando porque había estado bloqueado en un error de ajuste de diario durante más de un año y nuestro El depósito central de definiciones de políticas se había bombardeado en algún momento. Entonces, en general, nuestro dominio ha sufrido años de pasar por demasiados administradores de sistemas diferentes con diferentes niveles de experiencia, y también se actualizó de 2000 a 2003 y luego de 2003 a 2008 y nos estamos preparando para realizar otra actualización durante el próximo año.
En cualquier caso, un problema que parecíamos tener era una Política de dominio predeterminada muy inflada, a la que se le habían agregado todo tipo de configuraciones aleatorias. Supongo que algunas configuraciones habían quedado obsoletas en algún momento y parecía que no podía encontrarlas para desactivarlas en el editor. Saqué muchas cosas en más GPO relacionados con temas, me aseguré de que todavía estuvieran consolidados, etc. Una vez que hicimos eso, todas nuestras configuraciones de RDP volvieron a sus valores predeterminados en casi todas las máquinas del edificio, aunque no en todas. pero no hay otro patrón obvio basado en la unidad organizativa del usuario o PC, o Win 7 vs Win 10, etc. No utilizamos el firewall de Windows, por lo que no son las configuraciones relacionadas con el firewall. Son las configuraciones específicas en la pestaña Propiedades del sistema > Remoto.
Este es el punto en el que me di cuenta de que nuestras plantillas de administración en el repositorio central habían sido destruidas (yo mismo soy un poco nuevo en la administración de dominios de Windows). Supuse que la Política de dominio predeterminada o una de las otras políticas que había estado arreglando o eliminando incluían alguna configuración que no podía ver en el editor del GPO porque ni siquiera teníamos esa plantilla de política cargada. Entonces, después de cargar las plantillas predeterminadas, edité la configuración correcta, apliqué el GPO, forcé la actualización... y nada. Hago que la aplicación de la ley fue forzada, me aseguré de que iba a afectar a mi usuario, lo confirmé en GPRESULT, y luego incluso lo vinculé en las unidades organizativas de USUARIO y PC más cercanas a mis objetos AD... y todavía nada.
Agregué manualmente las dos claves de registro al GPO para permitir el escritorio remoto y no requerir NLA. Aún nada. Puedo alternar esas claves de registro manualmente y volver a cambiar la configuración en el panel de propiedades del sistema cambia las claves para confirmar, pero el GPO no cambia las claves.
Ejecuté GPRESULT en el alcance: configuración de la computadora. Veo lo siguiente:
La configuración de ese GPO aparece en 'configuración'
La política aparece en "GPO aplicados" y dice "Aplicado = Sí".
El GPO ganador correcto aparece en la configuración individual, las claves de registro dicen "resultado: éxito".
Sí, esas configuraciones no cambian en mi PC después de múltiples GPUPDATE /FORCE, reinicios, espera del ciclo de actualización de GPO (más el valor de compensación máximo) y ¡sin cambios!
Puede alguien señalarme la dirección correcta? ¡Cualquier ayuda sería muy apreciada!
EDITAR:
Configuraciones específicas: Enfoque de plantilla de administración: Componentes de Windows/Servicios de Escritorio remoto/Host de sesión de Escritorio remoto/Conexiones Permitir que los usuarios se conecten de forma remota mediante Servicios de Escritorio remoto - Habilitado
Componentes de Windows/Servicios de Escritorio remoto/Host de sesión de Escritorio remoto/Seguridad Requerir autenticación de usuario para conexiones remotas mediante la autenticación a nivel de red: deshabilitada
Enfoque de clave de registro: HKEY_LOCAL_MACHINE SYSTEM\CurrentControlSet\Control\Terminal Server fDenyTSConnections REG_DWORD 0x0 (0)
HKEY_LOCAL_MACHINE SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp UserAuthentication REG_DWORD 0x0 (0)
Son AMBOS cambios de computadora.
Intenté esto con el GPO en el alcance de la unidad organizativa de la PC y también intenté colocar el GPO en el alcance tanto del usuario como de la PC.
Respuesta1
Debería haber leído tu pregunta con más atención.
Está buscando la configuración de la Política de grupo en el lugar equivocado del Registro. La configuración de la Política de grupo (de la sección Plantillas administrativas) se escribe en una de las siguientes cuatro ubicaciones del Registro:
HKEY_LOCAL_MACHINE\SOFTWARE\políticas
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies
HKEY_CURRENT_USER\SOFTWARE\políticas
HKEY_ CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies
Modificar manualmente las claves del Registro como lo ha hecho es una especie de pista falsa. Espera que la Política de grupo cambie esas claves y, al no ver los resultados que espera, llega a la conclusión de que la Política de grupo no se está aplicando... pero, como lo demuestran los resultados de GPRESULT... simplemente buscando en el lugar equivocado para encontrar los cambios.
Cuando la Política de grupo configura esas configuraciones, debería verlo reflejado en la GUI. En la imagen a continuación, la configuración no está disponible, lo que significa que está administrada por la Política de grupo:
En la imagen a continuación, la configuración está disponible, lo que significa que la Política de grupo no la administra:
