none
Sobre GPO para impedir uso de Regedit RRS feed

  • Pregunta

  • Buenas, soy nuevo trabajando esto de las GPO's, ya que en mi empresa me solicitaron una manera de estandarizar el uso de un único wallpaper institucional, que claro que lo hice mediante una GPO, pero me di cuenta que algunos usuarios han trabajado desde el regedit y se han brincado la política. Ahora leo que existe una manera para evitar esto que es deshabilitar mediante GPO el uso de Regedit.exe, pero no conozco lo suficiente como para sopezar si es correcto o no. Imagino que esta política no evita que el sistema operativo o las aplicaciones si accedan a los registros y actualicen llaves, o que evite instalaciones de nuevas aplicaciones. Lo que necesito es que los usuarios no puedan saltarse la política del wallpaper y que no se le restrinja a los admins la posibilidad de hacer instalaciones en las máquinas de los usuarios. Espero haber podido plasmar bien el lio que tengo en la cabeza. Mil gracias.

    jueves, 8 de noviembre de 2012 15:35

Respuestas

  • Limita solamente el acceso al GPEDIT, o dependiendo cómo lo configures que no permite ejecutar *.REG

     


    Guillermo Delprato - Buenos Aires, Argentina
    Visite Windows Server - Todos los Paso a Paso
    MVP - MCT - MCSE - MCSA
    MCSA Windows Server 2008 MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory / Network Configuration / Applications Configuration / Server Virtualization / Windows 7 Configuration / Windows 7 & Office 2010 Deployment / Vista Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    jueves, 8 de noviembre de 2012 15:59
    Moderador

Todas las respuestas

  • Limita solamente el acceso al GPEDIT, o dependiendo cómo lo configures que no permite ejecutar *.REG

     


    Guillermo Delprato - Buenos Aires, Argentina
    Visite Windows Server - Todos los Paso a Paso
    MVP - MCT - MCSE - MCSA
    MCSA Windows Server 2008 MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory / Network Configuration / Applications Configuration / Server Virtualization / Windows 7 Configuration / Windows 7 & Office 2010 Deployment / Vista Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    jueves, 8 de noviembre de 2012 15:59
    Moderador
  • Hola Klonow,

    Edita la Default Domain policy y en la configuracion de usuario -> preferencias -> Configuracion de windows -> registro configura este setting:

    1.  Boton de la derecha Nuevo -> elemento de registro.
    2.  Creas en el subarbol de HKEY_CURRENT_USER la ruta de la clave Software\Microsoft\Windows\CurrentVersion\Policies\System  crea un tipo de valor REG_DWORD que se llame DisableRegistryTools.
    3. Pon el valor decimal 1

    Con esto deshabilitas el editor de registro en los equipos del dominio

    Testealo antes en una gpo de test por si acaso.

    Saludos

    jueves, 8 de noviembre de 2012 16:36
  • Hola Klonow,

    Edita la Default Domain policy y en la configuracion de usuario -> preferencias -> Configuracion de windows -> registro configura este setting:

    1.  Boton de la derecha Nuevo -> elemento de registro.
    2.  Creas en el subarbol de HKEY_CURRENT_USER la ruta de la clave Software\Microsoft\Windows\CurrentVersion\Policies\System  crea un tipo de valor REG_DWORD que se llame DisableRegistryTools.
    3. Pon el valor decimal 1

    Con esto deshabilitas el editor de registro en los equipos del dominio

    Testealo antes en una gpo de test por si acaso.

    Saludos

    MPG80, si lo llegara a hacer de esa forma *nadie*, ni los administradores podrían usar REGEDIT, y los administradores deben poder editar el registro para poder solucionar eventuales problemas


    Guillermo Delprato - Buenos Aires, Argentina
    Visite Windows Server - Todos los Paso a Paso
    MVP - MCT - MCSE - MCSA
    MCSA Windows Server 2008 MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory / Network Configuration / Applications Configuration / Server Virtualization / Windows 7 Configuration / Windows 7 & Office 2010 Deployment / Vista Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    viernes, 9 de noviembre de 2012 11:43
    Moderador
  • Modificar la Default Domain policy ?!?!?!? --> BAD IDEA

    Extremadamente raro que quieras hacer eso!

    Si haces lo que te recomienda MPG80, hacelo en una OU donde esten tus usuarios a los que les quieras aplicar esa política.

    viernes, 9 de noviembre de 2012 12:21
  • Tenéis toda la razón, disculpas. Mejor crear una gpo especifica para ello con security filtering para los usuarios que no deban de poder tocar el registro.

    Saludos

     

    La respuesta se proporciona "TAL CUAL", sin garantías y no confiere derechos. Es recomendable probar siempre cualquier sugerencia en un entorno de prueba antes de implementar! This posting is provided "AS IS" with no warranties and confers no rights! Always test ANY suggestion in a test environment before implementing!

    viernes, 9 de noviembre de 2012 12:31