locked
como puedo impedir RRS feed

  • Pregunta

  • Buenos dias,

    tengo una red en la que todos los equipos tienen winxp profesional y forman parte de un dominio, todos los usuarios  tienen cuenta de administrador, ahora si:

    mi jefe me ha encargado que impida que en estos equipos los empleados puedan instalar nuevos programas asi que intente lo siguiente en el registro de windows:

    Inicio/ejecutar/regedit
    navegue hasta

    HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Policies/Explorer

    Aquí, en Explorer, cree un nuevo valor DWord y le puse el nombre: RestrictRun, le deje el valor de 0

    De nuevo en Explorer, cree otro nuevo DWord y le puse el nombre: ResPass

    En el valor le puse un serie de números (entre 3 y 22 cifras) que seria la contraseña.

    Cierro el registro y reinicio windows.

    Según esto deberia pasar lo siguiente:

    A partir de ahora, cada vez que se vaya a instalar un programa, un aviso te dirá que no se permite, y te ofrecerá las opciones de Aceptar (instalar, permitir) - Cancelar (no instalar, no se permite)

    Si cancelas no pasa nada. No se instala.

    Si aceptas, windows te pedirá la contraseña (la que escribiste en el valor DWord).

    Si la contraseña es incorrecta no pasa nada, nada se instala, si es correcta entonces la instalación se inicia en modo normal, como siempre.

    El problema es que no funciona y no se porque, sera porque todos tienen una cuenta de administrador? ya que cambiarlos a usuarios normales no es una opcion ya que todos usan un software que aparentemente no funciona de otra forma.

    pueden decirme alguna otra manera de impedir que se instalen nuevos programas en estas maquinas?

    gracias de antemano.

    jueves, 14 de diciembre de 2006 14:17

Respuestas

  • Hola, primero, mencionas que todos trabajan con usuarios con nivel administrador, si es así pues no podrás hacer gran cosa, los usuarios pueden modificar y hacer lo que mejor les parezca, apliques o no apliques restricciones.

    La sugerencia: también mencionas que están unidos a un dominio,entonces porqué no aprovechar eso y aplicar las directivas desde ahí?, aprovecha esa posibilidad y además de que todo esté centralizado y no tener que estar aplicando las directivas a cada PC y que encima no te servirá.

    Y además si deseas saber más sobre la ventajas que tiene el estar unido a un Dominio y probablemente el servidor sea un Windows Server 2003 este es el foro más adecuado:

    http://forums.microsoft.com/TechNet-ES/ShowForum.aspx?ForumID=591&SiteID=30 (Windows Server 2003)

    http://forums.microsoft.com/TechNet-ES/ShowForum.aspx?ForumID=592&SiteID=30 (Directorio Activo)

    Visítalos y plantéales tu pregunta, estroy seguro que te darán una mano

    Saludos

    sábado, 16 de diciembre de 2006 15:32

Todas las respuestas

  • Los usuarios necesariamente tienen que estar como administrador?. Ya que si les pones un usuario normal podrías eliminar ese problema.

     

    Un saludo.

    jueves, 14 de diciembre de 2006 16:52
  • Coincido plenamente en lo que dice Ángel. Salvo en raras ocasiones (por ejemplo instalar una aplicación) un usuario tiene que recurrir a permisos administrativos para poder trabajar con normalidad.

    Si tienes a todos tus usuarios como administradores, tienes una gran brecha de seguridad, sin olvidar que no estás aprovechando en nada las capacidades de un dominio.

    jueves, 14 de diciembre de 2006 20:49
  • Bueno, creo que el restrictrun es con el valor "1" para activarlo.  A continuación tendremos que definir que aplicaciones serán restringidas. Para ello nos iremos a la clave (si no existe la clave RestrictRun debes crearla, sino no funcionara):

    HKEY_CURRENT_USER/SOFTWARE/Microsoft/Windows/CurrentVersion/Policies/Explorer/RestrictRun

    En este punto introduciremos valores alfanuméricos cuyo nombre serán números consecutivos y como contenido tendrán los nombres de los ejecutables de cada aplicación.

    Hay que tener creadas obligatoriamente las siguientes:

    Claves | Tipo | Datos
    1 | REG_SZ | c:\Windows\system32\setup.exe
    2 | REG_SZ | c:\Windows\system32\systray.exe
    3 | REG_SZ | regedit.exe

     

     

    Bueno, no se si era esto lo que preguntabas o no ^^. Suerte.

    viernes, 15 de diciembre de 2006 13:16
  • buenos dias, gracias por responder.

    Bueno, lo que mencionas funciona pero para restringir programas instalados en base a los ejecutables,ya que esto lo probe, lo que yo necesito es impedir que se instalen nuevos programas sea cual sea, porque con este metodo deberias ser mago para saber que programas se van a instalar para incluir el ejecutable en la lista.

    de nuevo gracias y si conoces otra forma de resolver esto por favor mencionala.

    viernes, 15 de diciembre de 2006 13:34
  • Vamos a ver una cosa. Si no recuerdo mal el valor DWORD RestricRun se usa para restringir las aplicaciones que los usuarios pueden usar. Es decir, añades a la clave RestrictRun por ejemplo el valor alfanumerico winword.exe y el usuario solo podra usar el Word de Office. Por el contrario si usas DisallowRun lo que proboca es el efecto contrario, podra usar todas las aplicaciones excepto las que tu le digas. Por ejemplo añadiendo el valor alfanumerico en la clave DisallowRun, winword.exe, el usuario no podra hacer uso del Word de Office.

     

    Yo te recomiendaria que usases la clave RestricRun y añadieses que aplicaciones pueden usar los usaurios de la red o equipos, de esta manera no podran ejecutar ninguna aplicacion que previamente no le hayas permitido usar, como por ejemplo lo que comentas de impedir que instalen aplicaciones no autorizadas por el administrador de redes. Espero haberte ayudado, un saludo.

    viernes, 15 de diciembre de 2006 22:23
  • Umm, perdona que me percate de esto tan tarde. Todos con cuentas de administradores? uff eso es un tema y un fuerte fallo de seguridad, ahi realmente no se controla nada de golpe, ya que al ser administrador de sistemas tiene unos derechos heredados del grupo y bueno, la verdad yo no lo habria hecho asi, pero tus razones tendras. Pues no se, probare luego tu caso y te dire, nunca se me habia planteado asi. Saludos ^^
    sábado, 16 de diciembre de 2006 14:12
  • Hola, primero, mencionas que todos trabajan con usuarios con nivel administrador, si es así pues no podrás hacer gran cosa, los usuarios pueden modificar y hacer lo que mejor les parezca, apliques o no apliques restricciones.

    La sugerencia: también mencionas que están unidos a un dominio,entonces porqué no aprovechar eso y aplicar las directivas desde ahí?, aprovecha esa posibilidad y además de que todo esté centralizado y no tener que estar aplicando las directivas a cada PC y que encima no te servirá.

    Y además si deseas saber más sobre la ventajas que tiene el estar unido a un Dominio y probablemente el servidor sea un Windows Server 2003 este es el foro más adecuado:

    http://forums.microsoft.com/TechNet-ES/ShowForum.aspx?ForumID=591&SiteID=30 (Windows Server 2003)

    http://forums.microsoft.com/TechNet-ES/ShowForum.aspx?ForumID=592&SiteID=30 (Directorio Activo)

    Visítalos y plantéales tu pregunta, estroy seguro que te darán una mano

    Saludos

    sábado, 16 de diciembre de 2006 15:32