none
Configurar politicas a usuarios locales del equipo RRS feed

  • Pregunta

  •        Buenas tardes, necesito crear politicas para usuarios especificos que se conectan remotos al controlador de dominio. Explico un poco: Necesito que 2 o 3 usuarios se conecten via remota al servidor, y necesito bloquear accesos y programas para esos usuarios pero solo en el servidor, en su sesion remota y no en su sesion local en el dominio. Tambien necesito aplicar solo esas politicas a estos 3 usuarios, ya que existen otros que se conectan remoto que no le aplicare estas politicas. ¿como podre configurarlo? He intentado en el gpmsc, pero se aplica a todas las sesiones del usuario.

     

       Muchas gracias!!


    Mario Escobar. Seguridad de redes y networking. Caracas, Venezuela
    miércoles, 1 de septiembre de 2010 16:16

Respuestas

  • Hola Mario, crea un grupo para esos usuarios, y luego la directiva que por filtros de seguridad se aplique sólo a ese grupo, y no a Usuario Autentificados.

    No tengo ahora a la vista una GPO para darte la posición exacta, pero dentro de la GPO, hay una entrada llamada "Procesamiento de bucle inverso" (Loopback Process Mode)
    Esa opción hace que se aplique la configuración de usuario que está en la GPO que se aplica a la máquina.

    En condiciones normales, se aplica la rama configuración de máquina de las GPOs que se aplican al equipo; y la rama configuración de usuario de las GPOs que se aplican al usuario.

    Con lo que te nombré antes, se aplica la configuación de usuario de las GPOs de máquina

    ¿Me explico? porque es difícil de explicar :-)

     


    Guillermo Delprato - Buenos Aires, Argentina
    MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.
    • Marcado como respuesta Mario Escobar miércoles, 1 de septiembre de 2010 19:54
    miércoles, 1 de septiembre de 2010 17:18
    Moderador

Todas las respuestas

  • Hola Mario, crea un grupo para esos usuarios, y luego la directiva que por filtros de seguridad se aplique sólo a ese grupo, y no a Usuario Autentificados.

    No tengo ahora a la vista una GPO para darte la posición exacta, pero dentro de la GPO, hay una entrada llamada "Procesamiento de bucle inverso" (Loopback Process Mode)
    Esa opción hace que se aplique la configuración de usuario que está en la GPO que se aplica a la máquina.

    En condiciones normales, se aplica la rama configuración de máquina de las GPOs que se aplican al equipo; y la rama configuración de usuario de las GPOs que se aplican al usuario.

    Con lo que te nombré antes, se aplica la configuación de usuario de las GPOs de máquina

    ¿Me explico? porque es difícil de explicar :-)

     


    Guillermo Delprato - Buenos Aires, Argentina
    MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.
    • Marcado como respuesta Mario Escobar miércoles, 1 de septiembre de 2010 19:54
    miércoles, 1 de septiembre de 2010 17:18
    Moderador
  •          Hola Guillermo gracias por la ayuda. Mi idea original fue esa, cree un grupo en el active directory solo para esos usuarios, pero despues no cree la politica porque pense que se aplicaria siempre, y solo necesito esas politicas para cuando se conecten al servidor. Con respecto a tu explicacion, de verdad que no entendi mucho, hare la prueba a ver.....
    Mario Escobar. Seguridad de redes y networking. Caracas, Venezuela
    miércoles, 1 de septiembre de 2010 17:43
  •       

                           Guillermo, lei lo que escribiste lentamente y ya lo entendi. Cree el grupo, hice miembros a los 3 usuarios, cree la directiva, en el filtro de seguridad quite "usuarios autentificados" y agregue solo el grupo con los 3 usuarios, en la directiva active el procesamiento de bucle inverso, pero la directiva no se aplica en ningun equipo, ni desde cualquier equipo del dominio como tampoco desde una sesion remota en el servidor. ¿que estara pasando? Por cierto, configure la directiva en "configuracion de usuario" no en "configuracion de equipo".


    Mario Escobar. Seguridad de redes y networking. Caracas, Venezuela
    miércoles, 1 de septiembre de 2010 18:39
  •          Pues bien, el asunto fue solucionado, cree un grupo y una OU para los 3 usuarios, cree la GPO editando tanto la "configuracion de equipo" como la "configuracion de usuario", active el procesamiento de bucle inverso, agregue el grupo de usuarios al filtro de seguridad de la GPO, vincule la OU de los usuarios a la GPO ya creada, en herencias la puse como nº 1 y forzada por encima de la GPO del dominio, y listo, ya tengo mis politicas solo cuando se loguean en el server con una sesion remota. Muchas gracias por tu ayuda!!
    Mario Escobar. Seguridad de redes y networking. Caracas, Venezuela
    miércoles, 1 de septiembre de 2010 19:59
  • El tema es que la GPO debe aplicarse al servidor.

    También podrías haberla enlazado a la Unidad Organizativa donde estaba el TS

    Cualquiera de las dos opciones funciona

     


    Guillermo Delprato - Buenos Aires, Argentina
    MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.
    miércoles, 1 de septiembre de 2010 20:25
    Moderador