Muy buenas, soy Jose de nuevo y hoy os vengo a hablar de algo que por experiencia cuesta entender con respecto a Group Policies… el modo Loopback (traducido al español como bucle invertido 🙂 ). Hay muchos artículos en Internet con respecto a esto, pero la verdad es que se suelen complicar a la hora de explicarlo, es bastante sencillo y espero que con este artículo no quede ninguna duda al respecto… así pues, ¡vamos allá!
Como sabéis, normalmente cuando queremos aplicar configuraciones de máquina lo que hacemos es crear una OU (Organizational Unit) que contenga máquinas a la cual le enlazamos GPOs (Group Policy Objects) con configuraciones de máquina. Y si queremos aplicar configuraciones de usuario pues creamos una OU con usuarios y le enlazamos GPOs de usuario.
Bien, pues existe una forma de aplicar configuraciones de usuario a máquinas, se denomina Loopback, y dispone de dos modos, Replace (reemplazar) y Merge (combinar). Vamos a entender esto con una serie de casos prácticos:
Configuración sin Loopback:
En la imagen tenemos:
Una OU «Test Computers» con un equipo llamado «Computer», y dos GPOs enlazadas: una con configuraciones de equipo «Computer setting – Turn off Windows Startup sound» y otra con configuraciones de usuario «User setting – Remove Computer icon on the desktop».
Una OU «Test Users» con un usuario llamado «User», y una GPO enlazada con configuraciones de usuario «User setting – Prohibit access to Control Panel and PC settings».
He añadido «Computer setting» y «User setting» al nombre de las GPOs simplemente para que sea más indicativo, lo normal es que esto no se indique.
Con esta configuración… ¿que políticas se aplicarán si el usuario «User» inicia sesión en la máquina «Computer»? La respuesta sería:
-> «Computer setting – Turn off Windows Startup sound»
-> «User setting – Prohibit access to Control Panel and PC settings»
Vemos que la política con configuraciones de usuario «User setting – Remove Computer icon on the desktop» no se aplica ya que está aplicada a una OU con un equipo.
Configuración con Loopback en modo Replace:
Ahora vamos a configurar Loopback en modo Replace, ¿cómo se hace? Pues habilitando la siguiente configuración en la política de usuario que queramos aplicar a una máquina, en nuestro caso:
Fijaros que he renombrado la política a «User setting LBR – Remove Computer icon on the desktop», esto es para indicar que esta política tiene LoopBack en modo Replace habilitado. Esto es muy útil para evitar confusión a la hora de analizar las políticas implementadas.
Y ahora, con esta nueva configuración… ¿que políticas se aplicarán si el usuario «User» inicia sesión en la máquina «Computer»? La respuesta sería:
-> «Computer setting – Turn off Windows Startup sound»
-> «User setting LBR – Remove Computer icon on the desktop»
Vemos que la política con configuración de usuario «User setting LBR – Remove Computer icon on the desktop» se comporta como si fuese de máquina. Vemos también que la política con configuraciones de usuario «User setting – Prohibit access to Control Panel and PC settings» no se aplica, ya que al habilitar el modo Replace en Loopback, eliminamos la aplicación de GPOs de usuario. Por lo tanto, habilitando Loopback en modo Replace, cualquier usuario que inicie sesión en nuestra máquina «Computer» verá sus políticas de usuario afectadas y denegadas.
Configuración con Loopback en modo Merge:
Ahora vamos a configurar Loopback en modo Merge:
Nuevamente, renombramos la GPO indicando que hemos habilitado LBM.
Y ahora, en este modo… ¿que políticas se aplicarán si el usuario «User» inicia sesión en la máquina «Computer»? La respuesta sería:
-> «Computer setting – Turn off Windows Startup sound»
-> «User setting LBM – Remove Computer icon on the desktop»
-> «User setting – Prohibit access to Control Panel and PC settings»
En este caso, se aplican todas las políticas, ya que el modo Merge no elimina la aplicación de las políticas de usuario, las combina.
La configuración más habitual que me suelo encontrar de Loopback es el modo Merge, ¿por qué? pues simplemente porque es el modo en el que las políticas de usuario no se ven denegadas (desconociendo el funcionamiento del modo Replace), pero espero que con este artículo cualquier duda al respecto haya quedado solventada.
Recomiendo siempre hacer pruebas antes de aplicar GPOs en producción en OUs de test (nunca enlazando políticas al dominio directamente), y utilizar también el simulador RSOP (Resultant Set of Policy). Seguiremos hablando de GPOs y mucho más en próximos post, espero que os haya sido de utilidad!
Un saludo!
Buen trabajo, muy facil de comprender, deseando con impaciencia el pròximo post. Muy util.
Gracias Ángel, saludos!
Buenas tardes Jose. Interesante articulo, enorabuena.
Un saludo.
Gracias Matteo, saludos!
Buena guía a modo de aproximación para entender el concepto de loopback de una forma sencilla
Un saludo
Me alegro de que te haya sido útil!