none
Desbloquear sesion con un usuario no administrador RRS feed

  • Pregunta

  • Buenas,

    Necesito que los usuarios de un grupo puedan "pisar" a la hora de iniciar sesion, las sesiones que dejan abiertas otros usuarios.

    Un usuario administrador lo hace sin ningun problema, pero un usuario normal no le deja, simplemnete le dice que esta bloqueado y que solo un administrador o el usuario que tiene la sesion bloqueada pueden desbloquearlo.

    Lo necesito porque los usuarios tienen la mania de dejar las sesiones abiertas, y aunque les digo que las cierren no hacen caso.

     

    Un saludo y gracias

    martes, 1 de junio de 2010 9:42

Respuestas

  • Hola,

    desconozco si activando el "Cambio rapido de usuario" podrias llegar a iniciar una sesion dejando la otra activa.

    No obstante te expongo otro planteamiento por si fuera de tu interes. En lugar de centrarte en pisar la sesion, puedes hacer que tras X minutos de inactividad se cierre la sesion automaticamente de manera que el siguiente usuario podra iniciar sesion con normalidad. Para ello, Microsoft creo un ScreenSaver que realiza la tarea del Log-Off del usuario, dicho ScreenSaver se llama winexit.scr y lo puedes encontrar en el Resource Kit de 2003 por ejemplo.

    Aqui econtraras informacion sobre como configurarlo, no tiene demasiada complicacion, solo debes configurarlo como el salvapantallas por defecto y establecer cuando debe activarse (como harias con cualquier otro salvapantallas).

    How To Force Users to Quit Programs and Log Off After a Period of Inactivity in Windows XP

    http://support.microsoft.com/default.aspx?scid=kb;EN-US;Q314999

    Windows Server 2003 Resource Kit Tools

    http://www.microsoft.com/downloads/details.aspx?FamilyID=9d467a69-57ff-4ae7-96ee-b18c4790cffd&displaylang=en

     

    Saludos!!

     

     


    MCTS: Windows Server 2008 Active Directory, Configuring
    martes, 1 de junio de 2010 11:20
    Moderador
  • Ese comportamiento es por dise;o y no es configurable de hecho las unicas credenciales por la que se consulta son por las de Administradores cuando se llama a la funcion de desbloquear , he tenido la oportunidad de discutir este incoveniente con uno de los desarroladores del sistema operativo :).

    Por lo cual deberas buscar alguna otra solucion 
    Sebastian del Rio - MCP - MCSA +S - MCSE +S - MCITP:Enterprise Administrator Buenos Aires - Argentina Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho. Ud. asume los riesgos
    jueves, 3 de junio de 2010 0:31
    Moderador
  • Hola Sebastián, yo sé que se puede... pero no lo he podido encontrar por más que busqué y busqué. A ver si lo podés encontrar, te doy la pista.

    En un lab del 2279 o 2154 está la modificación del DELWGWIZ punto INI o INF (no recuerdo) para hacer eso. Lo hacen en un lab. Si mal no recuerdo, pero no lo pude encontrar :-(

     


    Guillermo Delprato - MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration --- Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos. --- Buenos Aires, Argentina
    sábado, 5 de junio de 2010 12:10
    Moderador
  • Guille, 

    Por las dudas chequee toda la documentacion interna de acuerdo a este incoveniente , y volvi a confirmar lo mismo :) con una nota interna de Microsoft.

    El razonamiento por el cual no hay un derecho o privilegio para asignar el desbloqueo de una sesion bloqueada a un usuario comun  , es para evitar perdida de datos del usuario logueado, ya que tecnicamente el desbloqueo con otro usuario consiste entre otras cosas con el cierre de todas las aplicaciones de manera forzada , Otra de las razones por que las que no se permitio efectuar esta operacion en el dise;o es por la corrupcion de perfiles que podria producirse de esta manera ya que no es un cierre de sesion limpio  si no forzado.

    Por estas razones es que se ha dise;ado el sistema operativo de manera de que solo un usuario del grupo administrativo pueda asumir estos "riesgos".

    Tengo entendido que tampoco se piensa incluir el feature en versiones futuras del sistema operativo, aunque esto ultimo podria estar sujeto a cambios :)


    Saludos, 


    Sebastian del Rio - MCP - MCSA +S - MCSE +S - MCITP:Enterprise Administrator Buenos Aires - Argentina Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho. Ud. asume los riesgos
    sábado, 5 de junio de 2010 16:49
    Moderador

Todas las respuestas

  • Hola,

    desconozco si activando el "Cambio rapido de usuario" podrias llegar a iniciar una sesion dejando la otra activa.

    No obstante te expongo otro planteamiento por si fuera de tu interes. En lugar de centrarte en pisar la sesion, puedes hacer que tras X minutos de inactividad se cierre la sesion automaticamente de manera que el siguiente usuario podra iniciar sesion con normalidad. Para ello, Microsoft creo un ScreenSaver que realiza la tarea del Log-Off del usuario, dicho ScreenSaver se llama winexit.scr y lo puedes encontrar en el Resource Kit de 2003 por ejemplo.

    Aqui econtraras informacion sobre como configurarlo, no tiene demasiada complicacion, solo debes configurarlo como el salvapantallas por defecto y establecer cuando debe activarse (como harias con cualquier otro salvapantallas).

    How To Force Users to Quit Programs and Log Off After a Period of Inactivity in Windows XP

    http://support.microsoft.com/default.aspx?scid=kb;EN-US;Q314999

    Windows Server 2003 Resource Kit Tools

    http://www.microsoft.com/downloads/details.aspx?FamilyID=9d467a69-57ff-4ae7-96ee-b18c4790cffd&displaylang=en

     

    Saludos!!

     

     


    MCTS: Windows Server 2008 Active Directory, Configuring
    martes, 1 de junio de 2010 11:20
    Moderador
  • Gracias Pep, puede ser una opción, Aunque si existiera la otra posibilidad lo preferiría. Seguiré investigando. a ver si doy con alguna solución y sino optare por lo que comentas que tampoco es tan mala opción
    martes, 1 de junio de 2010 13:11
  • diealco, cerrar una sesión de usuario en forma forzada, la haga tanto un administrador como otro usuario, puede provocar pérdida o aún corrupción de datos. Tenlo en cuenta, no vaya a ser que el "remedio sea peor que la enfermedad" :-)

    Justamente por el motivo anterior, es que está reservado sólo a un administrador.

     


    Guillermo Delprato - MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration --- Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos. --- Buenos Aires, Argentina
    martes, 1 de junio de 2010 23:23
    Moderador
  • lo se, lo se. Yo les tengo dicho que cierren sus sesiones, pero como les da igual y el protector de pantalla bloquea la sesión, pues dejan los ordenadores bloqueados y no pueden usarlos nadie mas. Así que si no hay otra opción optare por que se les cierre la sesión cuando salte el salva pantallas, aunque me gusta menos aun.

    Seguiré investigando a ver si hay alguna otra solución

    EDITADO:

    Otra posibilidad es que puedan estar varias sesiones abiertas. Eso es posible en ordenadores con windows xp?

    No se, no termino de encontrar la solución que me convenza.

    Un saludo y gracias

    miércoles, 2 de junio de 2010 8:21
  • Comenta si encuentras otra solución, porque podría serle útil a alguien más.

    El tema lo veo difícil, porque piensa en lo siguiente: alguien tiene una aplicación abierta sin guardar cambios, tipo comencé a trabajar en un documento pero no finalicé. Al cerrar la sesión se debe decidir si guardar o no lo cambios ¿quién toma esa decisión? :-)

    En XP no ha forma de tener más de una sesion.

     


    Guillermo Delprato - MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration --- Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos. --- Buenos Aires, Argentina
    miércoles, 2 de junio de 2010 11:14
    Moderador
  • Hola,

    en XP con el "Cambio rapido de usuario" te permite tener dos sesiones abiertas pero no interactivamente, solo se puede trabajar en una de ellas pero mantiene la otra activa y con los programas ejecutandose sin que se pierdan datos, no obstante para poder hacer eso se debe cambiar de usuario teniendo la sesion abierta y escogiendo la opcion voluntariamente, creo que no te permite iniciar la segunda estando la primera bloqueada aunque es cierto que no lo he probado personalmente, podrias echarle un vistazo y comentar los resultados, asi todos aprendemos.

    Si tus usuarios trabajan sobretodo con paquetes Ofimaticos siempre puedes activar caracteristicas como el Auto-guardado de los documentos para intentar minimizar los efectos de un cierre de sesion "a la brava".

    Saludos!!

     

     


    MCTS: Windows Server 2008 Active Directory, Configuring
    miércoles, 2 de junio de 2010 12:06
    Moderador
  • Ese comportamiento es por dise;o y no es configurable de hecho las unicas credenciales por la que se consulta son por las de Administradores cuando se llama a la funcion de desbloquear , he tenido la oportunidad de discutir este incoveniente con uno de los desarroladores del sistema operativo :).

    Por lo cual deberas buscar alguna otra solucion 
    Sebastian del Rio - MCP - MCSA +S - MCSE +S - MCITP:Enterprise Administrator Buenos Aires - Argentina Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho. Ud. asume los riesgos
    jueves, 3 de junio de 2010 0:31
    Moderador
  • muchas gracias por la información, optare por poner el salva pantallas que cierra la sesión por un tiempo como medida educacional, así seguro que se acostumbran a cerrar la sesión, y tras un tiempo lo quitare y veré resultados
    jueves, 3 de junio de 2010 7:36
  • Hola Sebastián, yo sé que se puede... pero no lo he podido encontrar por más que busqué y busqué. A ver si lo podés encontrar, te doy la pista.

    En un lab del 2279 o 2154 está la modificación del DELWGWIZ punto INI o INF (no recuerdo) para hacer eso. Lo hacen en un lab. Si mal no recuerdo, pero no lo pude encontrar :-(

     


    Guillermo Delprato - MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration --- Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos. --- Buenos Aires, Argentina
    sábado, 5 de junio de 2010 12:10
    Moderador
  • Guille, 

    Por las dudas chequee toda la documentacion interna de acuerdo a este incoveniente , y volvi a confirmar lo mismo :) con una nota interna de Microsoft.

    El razonamiento por el cual no hay un derecho o privilegio para asignar el desbloqueo de una sesion bloqueada a un usuario comun  , es para evitar perdida de datos del usuario logueado, ya que tecnicamente el desbloqueo con otro usuario consiste entre otras cosas con el cierre de todas las aplicaciones de manera forzada , Otra de las razones por que las que no se permitio efectuar esta operacion en el dise;o es por la corrupcion de perfiles que podria producirse de esta manera ya que no es un cierre de sesion limpio  si no forzado.

    Por estas razones es que se ha dise;ado el sistema operativo de manera de que solo un usuario del grupo administrativo pueda asumir estos "riesgos".

    Tengo entendido que tampoco se piensa incluir el feature en versiones futuras del sistema operativo, aunque esto ultimo podria estar sujeto a cambios :)


    Saludos, 


    Sebastian del Rio - MCP - MCSA +S - MCSE +S - MCITP:Enterprise Administrator Buenos Aires - Argentina Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho. Ud. asume los riesgos
    sábado, 5 de junio de 2010 16:49
    Moderador
  • Sebastián, tenés razón, soy yo que me confundí de hilo. Leí "desbloquear" y me enganché con el hilo de "delegar desbloquear cuentas" y por eso nombraba lo del modificar el DELEGWIZ.

    A ver si alguno se acuerda de esta frase: "Pa'que le voy a decir que no si si" :-D

    Gracias por la info :-)

     


    Guillermo Delprato - MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration --- Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos. --- Buenos Aires, Argentina
    domingo, 6 de junio de 2010 12:02
    Moderador
  • Sebastián, tenés razón, soy yo que me confundí de hilo. Leí "desbloquear" y me enganché con el hilo de "delegar desbloquear cuentas" y por eso nombraba lo del modificar el DELEGWIZ.

    A ver si alguno se acuerda de esta frase: "Pa'que le voy a decir que no si si" :-D

    Gracias por la info :-)

     


    Guillermo Delprato - MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration --- Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos. --- Buenos Aires, Argentina
    =)
    Sebastian del Rio - MCP - MCSA +S - MCSE +S - MCITP:Enterprise Administrator Buenos Aires - Argentina Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho. Ud. asume los riesgos
    domingo, 6 de junio de 2010 13:58
    Moderador
  • Buenos dias

    No se si todavia estas interesado en el tema, pero voy a ver si te abro una via de escape.

    Te paso un link con informacion

    http://www.paralint.com/projects/aucun/#Installation

    Yo lo tengo en uso en entorno con dominio w2k3 y funciona.

    El tema:

    1 - Copiar en todo los pc's la dll aucun.dll que se utiliza para el proceso de winlogon

    2-  Añadir las claves del registro que se comentan en la web:

    REGEDIT4

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
    "GinaDLL"="aucun.dll"

    [HKEY_LOCAL_MACHINE\SOFTWARE\Paralint.com\Aucun\Groups]
    "Unlock"="My domain\\unlockers"
    "Excluded"="Administrators"
    "Force logoff"="My domain\\unloggers"


    3- Crear en active directory los grupos unlockers y unloggers (o como se llamen, siempre que sean igual que en registro)
    y añadir a estos grupos los usuarios que tu quieras dar los permisos




    Yo este proceso lo hago con un BAT de inicio por máquina, que me hace la copia de la dll desde un recurso compartido y me importar un archivo .reg


    Espero que te sirva

    viernes, 11 de junio de 2010 10:25
  • Hola tetevic, interesante lo que pones

    Aunque hay que evaluar el riesgo, eso de modificar la GINA.DLL implica que confías totalmente en el proveedor ;-)

     


    Guillermo Delprato - MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration --- Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos. --- Buenos Aires, Argentina
    viernes, 11 de junio de 2010 10:50
    Moderador
  • Se que no es nada recomendable, pero el objetivo de todo esto (forzar cierres de sesion) tampoco es muy recomendable.

    Arriesgado o no, la solucion es funcional. Si cliealco lo necesita aqui tiene una solucion.

    Remarcando que no es recomendable.

     

    Saludos a todos

    viernes, 11 de junio de 2010 12:52
  • Buenas tardes

    Guillermo, se que es arriesgada esta practica pero tampoco es muy recomendable ir cerrando sesion de esta manera por el peligro que conlleva de que se corrompa el perfil entre otras cosas.

    Yo solo doy una opcion que es funcional al problema que se plantea.

     

     

    Saludos a todos y espero que le sirva a alguien

    lunes, 14 de junio de 2010 14:28
  • Claro que es válida la solución tetevic :-)

    Yo no la implementaría por los riesgos que conlleva, pero esa es una decisión que debe tomar diealco.

    Y sí, es válida tu propuesta por supuesto :-)

     


    Guillermo Delprato - MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration --- Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos. --- Buenos Aires, Argentina
    lunes, 14 de junio de 2010 16:22
    Moderador
  • Muchas gracias.

    me sirve y mucho. Solo lo necesito para una maquina que se le da un uso distinto a las demás. y el que deje su sesión abierta en ella ya sabe a lo que se expone. pues no es una maquina de trabajo. así que yo no tengo que evaluar la posible perdida de información

    Lo probare en cuanto tenga tiempo

    martes, 15 de junio de 2010 11:28