none
Evitar que usuarios no logeados al dominio ingresen a los recursos compartidos RRS feed

  • Pregunta

  • Hola, tengo la siguiente duda, soy admin. de sistemas en una empresa con muchos tecnicos de soporte, estos tecnicos para evitar que los Domain Admins ingresen a sus equipos eliminan de su grupo local de usuarios a los Domain Admins y ademas no se logean al dominio, sino como admin local en su pc. Pero cuando acceden al correo o a las carpetas compartidas Active Directory les solicita su usario y password de dominio y pueden ingresar, entonces para ellos no es problema no logearse al dominio.

    Para mi es un dolor de cabeza ya que a estos usuarios no les puedo aplicar politicas ni restricciones, no se actualizan sus PC's y son un foco de infeccion permanente ya que al no logearse al domino Forefront no se actualiza.

    En resumen, existira alguna solucion a esta problematica?

     

    Saludos!

    viernes, 8 de abril de 2011 13:45

Respuestas

  • Mira/Crea una GPO de Dominio, la parte Machine Settings -> Security Settings -> Local Policies -> User Rights -> Log On Locally, donde autorizas quién puede acceder locamente

    También tienes otra en Machine Settings -> Security Settings -> Local Policies -> User Rights -> Deny logon locally, donde deniegas explícitamente el login.

    Mucho cuidado con tocar algo "en producción" sin haberlo probado en un entorno de test porque "la puedes liar de verdad".


    Saludos,

    Marc
    MCSA/MCSE 2003
    MCITP: Enterprise Administrator (Windows Server 2008)
    MCITP: Enterprise Messaging Administrator (Microsoft Exchange 2007 & Exchange 2010)
    Citrix CCA
    • Propuesto como respuesta Ismael Borche martes, 12 de abril de 2011 15:34
    • Marcado como respuesta Ismael Borche miércoles, 13 de abril de 2011 18:18
    viernes, 8 de abril de 2011 13:55
    Moderador
  • Tambien creo que es recomendable una GPO de Restricted Groups para prevenir que quiten a los Domain Admins como administradores de los equipos

     

    • Propuesto como respuesta Ismael Borche martes, 12 de abril de 2011 15:34
    • Marcado como respuesta Ismael Borche miércoles, 13 de abril de 2011 18:18
    viernes, 8 de abril de 2011 14:58

Todas las respuestas

  • Mira/Crea una GPO de Dominio, la parte Machine Settings -> Security Settings -> Local Policies -> User Rights -> Log On Locally, donde autorizas quién puede acceder locamente

    También tienes otra en Machine Settings -> Security Settings -> Local Policies -> User Rights -> Deny logon locally, donde deniegas explícitamente el login.

    Mucho cuidado con tocar algo "en producción" sin haberlo probado en un entorno de test porque "la puedes liar de verdad".


    Saludos,

    Marc
    MCSA/MCSE 2003
    MCITP: Enterprise Administrator (Windows Server 2008)
    MCITP: Enterprise Messaging Administrator (Microsoft Exchange 2007 & Exchange 2010)
    Citrix CCA
    • Propuesto como respuesta Ismael Borche martes, 12 de abril de 2011 15:34
    • Marcado como respuesta Ismael Borche miércoles, 13 de abril de 2011 18:18
    viernes, 8 de abril de 2011 13:55
    Moderador
  • Tambien creo que es recomendable una GPO de Restricted Groups para prevenir que quiten a los Domain Admins como administradores de los equipos

     

    • Propuesto como respuesta Ismael Borche martes, 12 de abril de 2011 15:34
    • Marcado como respuesta Ismael Borche miércoles, 13 de abril de 2011 18:18
    viernes, 8 de abril de 2011 14:58
  • Gracias amigo.
    jueves, 14 de abril de 2011 18:28