¿El mapeo de unidades con GPP deja de funcionar cuando activas Item‑Level Targeting por grupo? Aquí tienes el diagnóstico y una guía paso a paso para que solo los usuarios previstos vean y usen la unidad, sin dolores de cabeza y con buenas prácticas de Active Directory y Group Policy.

Resumen del caso

El mapeo de unidades mediante Group Policy Preferences (GPP) funciona para todos los usuarios. Sin embargo, al habilitar Item‑Level Targeting (ILT) con un grupo de seguridad, la unidad deja de aparecer en los usuarios que deberían recibirla. El objetivo es restringir la unidad a un subconjunto específico de cuentas sin romper el mapeo ni generar comportamientos inconsistentes.

Diagnóstico clave

En la gran mayoría de casos, el fallo proviene de una combinación de alcance del GPO, permisos de aplicación y tipo de grupo utilizado para filtrar. Para que un GPO de User Configuration aplique, el usuario debe cumplir todo esto a la vez:

• Estar dentro del alcance del vínculo del GPO (OU correcta, sin bloqueos ni filtrados indeseados).
• Tener permisos de Read + Apply group policy en el GPO (Security Filtering).
• Cumplir la condición de ILT (ser miembro del grupo correcto, evaluado como usuario, no como equipo).

Adicionalmente, los cambios de pertenencia a grupos no se reflejan en caliente en el token del usuario. Se requiere cerrar sesión e iniciar sesión para que el nuevo grupo forme parte del token de seguridad evaluado por GPO y por ILT.

Conceptos esenciales

Alcance y procesamiento

• Vinculación: un GPO aplica solo donde está vinculado. La User Configuration se evalúa para cuentas de usuario que residan en la OU (o contenedor) donde el GPO está vinculado, considerando la herencia.
• Permisos: además de estar en el alcance, el usuario debe poder leer y aplicar el GPO. Esto se controla en Security Filtering y en Delegation.
• ILT: el Targeting del elemento GPP es un filtro adicional. Si no coincide, el elemento (p. ej., Drive Map) no se procesa aunque el GPO sí aplique.

Tipos de grupo y su uso

Usar el tipo de grupo incorrecto en ILT o en Security Filtering es una causa clásica de fallos. Esta tabla resume su función típica en el diseño de permisos y políticas:

Tipo de grupo	Ámbito	Uso recomendado	Comentario
Global (GG)	Dominio propio	Contener directamente usuarios para filtrado de GPO e ILT	Ideal para Security Filtering e ILT; membership estable y nítida
Universal (UG)	Bosque	Escenarios multi‑dominio; también válido para ILT	Útil si los usuarios y recursos están en dominios distintos
Domain Local (DL)	Dominio propio	Permisos NTFS/Share sobre el recurso	No usar para filtrar GPO; su naturaleza es de permisos sobre recursos

Patrón recomendado AGDLP

Un patrón seguro y mantenible es:

Usuarios → Grupo Global (GG) → miembro de Grupo Local de Dominio (DL) → permisos NTFS/Share en la carpeta

En este patrón, el GG se utiliza para Security Filtering e ILT, y el DL se usa para permisos sobre el recurso. Esto separa el filtrado lógico de GPO de la autorización al recurso.

Solución paso a paso

Vinculación y estado del GPO de usuario

1. Vincula el GPO a la OU que contiene las cuentas de usuario objetivo (no solo equipos). Evita confiar en vínculos en OU de equipos si no vas a usar Loopback de forma consciente.
2. En el GPO, confirma que no esté deshabilitada la sección User Configuration settings. Un GPO con User Configuration: Disabled no aplicará a usuarios.
3. Revisa la herencia y si existe Block Inheritance o Enforced en otros GPOs que cambie el resultado final.

Security Filtering del GPO

1. Mantén Authenticated Users con Read únicamente (elimina Apply group policy si quieres un filtrado estricto).
2. Agrega el grupo objetivo (preferiblemente un Global o Universal) con permisos Read + Apply group policy.
3. Evita usar Domain Local para filtrar GPO. Los DL están pensados para permisos a recursos. Pueden no estar presentes como esperas en el token del usuario durante el procesamiento del GPO.

Item‑Level Targeting en el elemento de Drive Maps

1. En el elemento de mapeo de unidades: Common → Targeting…
2. Agrega una condición Security Group.
3. Selecciona User is in y elige el GG (o UG) donde están los usuarios objetivo. Asegúrate de que se resuelva como DOMINIO\NombreGrupo y que la condición sea de usuario (no de equipo).
4. Si usas varias condiciones, valida la lógica AND/OR en el Targeting Editor. Un AND mal puesto puede excluir a todos.

Permisos sobre la carpeta compartida

1. Concede permisos NTFS y de recurso compartido al DL (Grupo Local de Dominio).
2. Inserta el GG dentro del DL. Así, el filtrado (ILT/Security Filtering) se hace con el GG, y el acceso efectivo al recurso lo otorga el DL.

Actualización de token y comprobación

1. Tras modificar membresías de grupos, cierra sesión e inicia sesión. gpupdate /force no refresca el token de seguridad del usuario.
2. Verifica con:
   • gpresult /R /SCOPE USER o gpresult /H C:\gp.html (el GPO debe figurar como aplicado).
   • Visor de eventos: Applications and Services Logs → Microsoft → Windows → GroupPolicy → Operational para eventos de Preferencias (Drive Maps) y de filtrado.

Detalles prácticos del elemento de mapeo

1. Ruta UNC: usa \\servidor\recurso; evita rutas locales o dependencias de la letra previa.
2. Acción: usa Update para no romper letras ya existentes o Replace si necesitas forzar el cambio y la letra puede estar ocupada.
3. Contexto: en Common, deja activo Run in logged‑on user’s security context (user) para que el acceso se haga con el token del usuario.
4. Persistencia: si activas Reconnect (persistente), sé consciente de su efecto en inicios sin red. Si hay dudas, mantenlo deshabilitado y confía en GPP.
5. Quitar la unidad cuando no aplique: marca Remove this item when it is no longer applied si quieres limpieza automática cuando el usuario salga del grupo.

Comprobaciones rápidas

• En ADUC, confirma que la cuenta del usuario esté en la OU donde está vinculado el GPO de usuario.
• En el GPO, verifica que el usuario (vía grupo) tenga Read + Apply group policy.
• En el elemento GPP, revisa el ILT apuntando al GG/UG correcto.
• Después de cambios en grupos, cierra sesión e inicia sesión.
• En el Visor de eventos, comprueba la evaluación del ILT y el resultado del elemento Drive Maps.

Tabla de síntomas, causa y solución

Síntoma	Causa probable	Cómo resolver
La unidad no aparece en ningún usuario objetivo	GPO de usuario vinculado a OU de equipos o User Configuration deshabilitada	Vincula el GPO a la OU de usuarios y habilita User Configuration
La unidad aparece para todos, no solo para el grupo	ILT no configurado o Security Filtering demasiado amplio	Configura ILT con User is in GG/UG y ajusta Security Filtering
La unidad desaparece tras activar ILT	Usaste un Domain Local en ILT	Usa un Global o Universal en ILT; deja el DL para NTFS/Share
Al agregar usuarios al grupo, no reciben la unidad	Token desactualizado	Cerrar sesión e iniciar sesión; verifica whoami /groups
GPO aplica pero el GPP no mapea	ILT no coincide o letra ocupada	Ajusta ILT; cambia acción a Replace o usa otra letra
Con equipos compartidos, mapeos inconsistentes	Loopback o conflictos entre GPOs	Revisa Loopback en GPO de equipos; define el orden y la precedencia

Validación profunda

Token y pertenencia a grupos

whoami /groups

Busca el GG/UG objetivo en la salida. Si no aparece, no esperes que ILT lo detecte. Cierra sesión y vuelve a iniciar.

Resultado de políticas

gpresult /R /SCOPE USER
gpresult /H C:\gp.html

El informe debe listar el GPO como aplicado. Si no figura, revisa Security Filtering y el alcance del vínculo.

Eventos de Group Policy

En GroupPolicy → Operational, encontrarás eventos útiles para saber si el elemento Drive Maps se creó, actualizó o falló, y si el ILT evaluó como true o false.

Detalles finos del elemento de mapeo

• Acción:
  • Create: crea si no existe; no toca si ya está.
  • Update: crea o actualiza; mantiene si no hay cambios.
  • Replace: elimina y vuelve a crear; útil si la letra está ocupada o hay cambios profundos.
  • Delete: quita la unidad; combina bien con Remove this item…
• Etiquetado: “Label as” ayuda a que el usuario reconozca la unidad; usa nombres claros.
• Ocultar/Mostrar: puedes ocultar la letra en el explorador si necesitas que sea transparente para el usuario.
• Conectar como: evitar, salvo casos muy controlados; usar credenciales alternativas puede romper el SSO y la experiencia.

Notas y causas típicas de fallo

• Grupo incorrecto en ILT/Security Filtering: usar DL en lugar de GG/UG.
• OU errónea: el GPO de usuario está vinculado donde solo hay equipos.
• Token desactualizado: no se cerró sesión tras agregar el usuario al grupo.
• Filtros WMI o estado del GPO: un filtro WMI puede excluir al usuario; asegúrate de que aplique realmente.
• Letra ocupada: usa Replace o elige otra letra para evitar colisiones.
• Conflicto entre GPOs: dos elementos de mapeo que pelean por la misma letra; define un único origen o gestiona el orden.

Diseños alternativos

Si el targeting es simple y estable, puedes omitir ILT y crear un GPO por unidad, apoyándote solo en Security Filtering con el GG (Read+Apply). Es más simple de depurar e ideal para auditorías, a costa de un mayor número de GPOs.

Ejemplo guiado

Supón que quieres mapear \\FS01\Ventas en la letra V: solo para el equipo de ventas.

1. Crea GG_Ventas y añade a los usuarios de ventas.
2. Crea DLVentasRecursos y dale permisos NTFS/Share sobre \\FS01\Ventas.
3. Haz GGVentas ∈ DLVentas_Recursos.
4. Crea un GPO “Mapeo Ventas” con un elemento Drive Maps:
   • Acción: Update; Letra: V:; Ruta: \\FS01\Ventas.
   • Common → Targeting… → Security Group → User is in GG_Ventas.
   • Common → marca Remove this item when it is no longer applied (opcional).
5. Vincula el GPO a la OU que contiene las cuentas de usuario de ventas.
6. En Security Filtering del GPO:
   • Deja Authenticated Users con Read (sin Apply).
   • Añade GG_Ventas con Read + Apply group policy.
7. Indica a los usuarios que cierren sesión e inicien sesión. Verifica con gpresult y el Visor de eventos.

Buenas prácticas adicionales

• Nomenclatura: prefija los grupos con su función (GG, DL) y destino (GGUnidadVentas).
• Documentación: añade comentarios en el elemento GPP (campo Comment) con la intención del mapeo y el grupo de control.
• Versionado: evita cambios frecuentes en el mismo GPO; considera separar por áreas para reducir impacto.
• Pruebas: usa cuentas de prueba en una OU de staging con el mismo enlace de GPO antes de desplegar a producción.
• Limpieza: habilita Remove this item… para que las unidades se retiren cuando el usuario ya no cumpla el targeting.

Solución de problemas avanzada

Orden de precedencia y conflictos

Si varias políticas compiten por la misma letra, define una única fuente de la verdad o usa letras distintas por unidad de negocio. Revisa el orden de enlaces en la OU y considera Enforced solo cuando sea imprescindible.

Loopback

Si usas Loopback processing en equipos (modo Merge o Replace), recuerda que afecta la evaluación de User Configuration. En Replace, solo aplican los GPOs vinculados al contenedor del equipo; asegúrate de que el GPO con el mapeo esté en el alcance correcto.

SYSVOL y auditoría

Los elementos de GPP se almacenan en XML dentro del GPO en \<dominio>\SYSVOL<dominio>\Policies\{GUID}\User\Preferences\Drives\Drives.xml. En auditorías, esto ayuda a localizar el mapeo y revisar su ILT.

Checklist final

• GPO de User Configuration vinculado a la OU con usuarios objetivo.
• Authenticated Users = Read (sin Apply).
• Grupo objetivo (Global/Universal) = Read + Apply en Security Filtering.
• ILT: User is in el GG/UG correcto.
• GG ∈ DL; el DL tiene permisos NTFS/Share sobre la carpeta.
• Cerrar sesión e iniciar sesión tras cambios de grupo.
• gpresult y eventos de Group Policy en verde.

Preguntas frecuentes

¿Puedo usar un grupo anidado en ILT?
Sí, siempre que el grupo evaluado por ILT (GG/UG) incluya directamente o de forma transitiva al usuario. Aun así, prioriza la pertenencia directa para simplificar el soporte.

¿Por qué el usuario ve la unidad pero no puede abrirla?
El GPP mapea la letra si ILT y Security Filtering coinciden, pero el acceso real lo otorgan los permisos NTFS/Share. Revisa que el DL tenga permisos y que el GG esté dentro del DL.

¿Se puede forzar la actualización del token sin cerrar sesión?
En general, no. El método confiable es cerrar sesión e iniciar sesión. Algunas renovaciones de credenciales ayudan con tickets, pero la pertenencia a grupos en el token de usuario requiere un nuevo inicio de sesión.

¿ILT debe evaluar por usuario o por equipo?
Para unidades por usuario, la condición debe evaluarse como usuario. La evaluación por equipo no reflejará la pertenencia del usuario al grupo.

¿Mejor ILT o Security Filtering?
Depende. Security Filtering por sí solo simplifica la depuración; ILT aporta granularidad dentro del mismo GPO. Una mezcla sensata es usar ambos: Security Filtering para el conjunto base y ILT para refinar.

Resumen ejecutivo

Cuando un mapeo de unidad desaparece al activar ILT, casi siempre se trata de un problema de alcance/permiso o del uso de un Domain Local para filtrar. Asegura el patrón AGDLP, usa GG/UG para ILT y Security Filtering, vincula el GPO donde residen los usuarios y recuerda que la actualización del token exige cerrar sesión. Con estas pautas, el targeting será preciso y el acceso al recurso, consistente.

Con esta guía tendrás un mapeo de unidades robusto, auditable y fácil de mantener, orientado a equipos de TI que buscan fiabilidad sin sacrificar flexibilidad.