none
Bloqueo de Equipo por Gpo RRS feed

  • Pregunta

  • Buenas Noches...

    Mis cordiales saludos...

    Tengo o quiero implementar una política en la compañía donde trabajo, ya que el personal de soporte técnico, no esta reportando el ingreso de equipos nuevos al dominio y a los ya existentes al momento de realizar un formateo les cambian el nombre y los agregan al dominio con un nuevo nombre agregandole un caracter, por ende hay un descontrol en el AD. Tenemos como servidor de dominio WinServer2008, en donde tambien llevo las Gpo para otras politicas, Active Directory y equipos con WinXp casi que en su totalidad. Lo que quisiera implementar es que a los equipos que se agreguen nuevos al dominio se le aplique una politica en la cual no se pueda ejecutar ningún tipo de aplicacion o sea que el uso del equipo sea practicamente restringido y deban llamar al dpto donde me encuentro para mover el equipo a la OU correspondiente, me estuve documentando y ya cree una OU y redireccione que los equipos nuevos se agreguen a esa OU. Que Gpo me recomiendan para este caso???

    Mil gracias de antemano.

    Saludos


    Argenis Velasquez V. Especialista II Seguridad IT

    miércoles, 12 de noviembre de 2014 4:33

Respuestas

  • Hola, Argenis:

    Ante todo, un detalle MUY importante, compañero: cualquier GPO que apliques a nivel de dominio sólo se ejecutará si el usuario inicia la sesión con alguna cuenta perteneciente al dominio. No tendrá ninguna validez en los inicios de sesión por cuentas locales. Por favor, tenlo en cuenta.

    Respondiendo directamente a tu pregunta, es bastante peligroso (por no decir absurdo) restringir la funcionalidad de una estación cliente hasta el punto de que NO pueda ejecutar ninguna aplicación. Si no quieres que usen los sistemas, la solución más sencilla sería no darles credenciales de inicio de sesión..
    Pero como presumo que ésta respuesta no te vale, te remito a las siguientes opciones desde el editor GPO a nivel de dominio:

    .- Windows Management Instrumentation - WMI, para autorizar/denegar el acceso a aplicativos y/o herramientas propias o de terceros. Más info oficial en:

    · Introducción a Control WMI:
    http://technet.microsoft.com/es-es/library/cc754240.aspx

    · Administración de la seguridad de WMI:
    http://technet.microsoft.com/es-es/library/cc731011.aspx

    .. Y para editar los permisos de acceso y/o denegación a los recursos locales del equipo, te recomiendo edites las directivas que permitan el acceso a las unidades de almacenamiento desde CONF. de USUARIO => PLANTILLAS ADMIN. => EXPLORADOR de WINDOWS, así como "bloquear" los accesos al Menú Inicio desde CONF. de USUARIO => PLANTILLAS ADMIN. => MENU INICIO Y BARRA DE TAREAS


    Desiderio Ondo | Bachellor Science in Computer engineering | MCSE certified | ITIL certified | Exchange mailing certified

    • Marcado como respuesta Moderador M jueves, 13 de noviembre de 2014 16:20
    miércoles, 12 de noviembre de 2014 10:26

Todas las respuestas

  • Hola, Argenis:

    Ante todo, un detalle MUY importante, compañero: cualquier GPO que apliques a nivel de dominio sólo se ejecutará si el usuario inicia la sesión con alguna cuenta perteneciente al dominio. No tendrá ninguna validez en los inicios de sesión por cuentas locales. Por favor, tenlo en cuenta.

    Respondiendo directamente a tu pregunta, es bastante peligroso (por no decir absurdo) restringir la funcionalidad de una estación cliente hasta el punto de que NO pueda ejecutar ninguna aplicación. Si no quieres que usen los sistemas, la solución más sencilla sería no darles credenciales de inicio de sesión..
    Pero como presumo que ésta respuesta no te vale, te remito a las siguientes opciones desde el editor GPO a nivel de dominio:

    .- Windows Management Instrumentation - WMI, para autorizar/denegar el acceso a aplicativos y/o herramientas propias o de terceros. Más info oficial en:

    · Introducción a Control WMI:
    http://technet.microsoft.com/es-es/library/cc754240.aspx

    · Administración de la seguridad de WMI:
    http://technet.microsoft.com/es-es/library/cc731011.aspx

    .. Y para editar los permisos de acceso y/o denegación a los recursos locales del equipo, te recomiendo edites las directivas que permitan el acceso a las unidades de almacenamiento desde CONF. de USUARIO => PLANTILLAS ADMIN. => EXPLORADOR de WINDOWS, así como "bloquear" los accesos al Menú Inicio desde CONF. de USUARIO => PLANTILLAS ADMIN. => MENU INICIO Y BARRA DE TAREAS


    Desiderio Ondo | Bachellor Science in Computer engineering | MCSE certified | ITIL certified | Exchange mailing certified

    • Marcado como respuesta Moderador M jueves, 13 de noviembre de 2014 16:20
    miércoles, 12 de noviembre de 2014 10:26
  • Buenos Días,

    Amigo Desiderio, de antemano altamente agradecido por tu respuesta.

    Entiendo y estoy de acuerdo con tu primer punto, para aplicar algún tipo de política local seria otro tema, como también estoy de acuerdo en tu segundo puto, solo que como te expongo en mi duda o pregunta, esto quiero hacerlo ya que en mi plataforma de AD, tengo una serie de OU´s con sedes externas donde se debe llevar un control y les aplico otras políticas,al igual que acá en la sede principal estoy organizando los equipos por gerencia, el departamento de soporte no nos esta reportando al momento de eliminar una maquina del dominio y al no hacer esto le cambian el nombre de pc y la agregan al dominio para que no les de error, esto ha llevado a que si se podría decir se embasure el AD. Por esto es que quiero aplicar una política como esta para que se vean en la obligación de llamarnos y así colocar el equipo en la OU correspondiente y mantener el orden.

    Tomare en cuenta la documentación que me envías haré las respectivas pruebas y te informo el resultado.

    De nuevo muy agradecido por tu respuesta a mi caso.

    Saludos

    Excelente día.


    Argenis Velasquez V. Especialista II Seguridad IT

    miércoles, 12 de noviembre de 2014 13:49
  • Hola, ArgenisV:

    Marca la respuesta como válida si te ha servido de ayuda..


    Desiderio Ondo | Bachellor Science in Computer engineering | MCSE certified | ITIL certified | Exchange mailing certified

    jueves, 13 de noviembre de 2014 17:47
  • Buenas..

    Creo que ya la marcaron como respuesta, no tengo la opcion.

    Muchas gracias nuevamente.

    Saludos


    Argenis Velasquez V. Especialista II Seguridad IT

    jueves, 13 de noviembre de 2014 22:54
  • Esa respuesta no es correcta.

    Para hacer lo que dices, aplicas a la UO en la que entran los equipos, una directiva que deniegue el inicio de sesión de los usuarios.

    Así cuando muevas la cuenta al GPO adecuado, si se podrá iniciar sesión en él.

    lunes, 17 de noviembre de 2014 18:59
  • Buenas Noches...

    Mis saludos Javier, agradecido por tu respuesta y colaboración...

    No me había podido sentar a contestar acá en el foro... A su vez estuve revisando pero no encontré la opción que me indicas, suena bastante interesante y quisiera realizar una prueba con lo que me recomiendas...

    Por favor podrías indicarme la ruta para aplicar dicha Gpo.

    Saludos


    Argenis Velasquez V. Especialista II Seguridad IT

    miércoles, 19 de noviembre de 2014 23:13
  • Hola, ArgenisV:

    No has encontrado las opción señalada por Javier Zas porque sencillamente, no existe una directiva explícita que deniegue el inicio de sesión al usuario. Lo más parecido que se me ocurre son 2 opciones:

    1.- Desde el editor GPO del DC (EJECUTAR => GPMC.msc) edita la GPO afectada por la OU y especifica los usuarios/grupos a los que quieras denegar los accesos desde la ruta CONF.de.MAQUINA => POLITICAS => CONF.de.WINDOWS => CONF.SEGURIDAD => POLITICAS LOCALES => ASIGNACION DE PERMISOS DE USUARIOS, hallarás una directiva de nombre "Denegar inicio de sesión local".

    2.- Desde el editor de "Usuarios y Equipos de Active Directory" (EJECUTAR => DSA.msc) del DC, accede a las propiedades de lo(s) objetos de cuenta(s) de usuario interesado(s) y en el botón INICIAR SESIÓN EN.. de la solapa CUENTA, invéntate un nombre de PC cliente ficticio, de modo que el usuario estará restringido a iniciar la sesión de dominio única y exclusivamente en una estación cliente con el nombre que le hayas especificado..

    ArgenisV, ten en cuenta que las respuestas ofrecidas por cada uno de nosotros es perfectamente verificable, y aunque siempre existirá el margen de error, la intención (por lo menos en mi caso concreto) no es darte la respuesta perfecta, sino ayudarte a encontrarla para tu scenario.

    Desgraciadamente, tambien puedes encontrarte con gente como Javier Zas cuyo único propósito con sus comentarios es de causar polémicas y no aportar en ayudarte.

    Confío haberte servido de ayuda, compañero..

    Desiderio Ondo | Bachellor Science in Computer engineering | MCSE certified | ITIL certified | Exchange mailing certified


    jueves, 20 de noviembre de 2014 12:57