none
Politicas de grupo sin dominio RRS feed

  • Pregunta

  • Muy buenas tardes,

    Quiero pedirles su ayuda en un par de temas, sin antes decirles que muchas veces he obtenido muchas respuesta a mis problemas en este foro, y a todos los que han dedicado tiempo, les agradezco.

    Hace poco estoy a cargo de una empresa que cuenta con con 4 sucurzales, cada una con 15 maquinas, todas ellas conectadas a un switch y luego al internet.

    Hace unos dias me han pedido que me encargue de restringuir todo programa que no sea de trabajo, restringir el internet (solo nuestro correo no) asi como tambien el uso de cualquier dispositivo como memorias USB, discos duros etc...

    Las maquinas no estan en dominio, que podria ser una buena solucion aqui, estoy abierto a opciones, de antemano gracias.

    domingo, 28 de octubre de 2012 18:34

Respuestas

Todas las respuestas

  • Hola Aldo,

    Lo primero decirte que si las máquinas no están en dominio te va a llevar mucho más trabajo restringir programas, etc. Puedes usar políticas locales de máquina, sobre todo los usuarios no han de ser Administradores de sus máquinas, ya que entonces en la mayor parte de los casos si son hábiles podrán saltar la mayor parte de las restricciones que les impongas.

    Tambien te comento que depende del sistema operativo de tus equipos cliente, ya que antes de XP SP2 era más complicado restringir ciertos elementos.

    ¿Que versiones tienes de SO cliente?



    Daniel Graciá - Madrid / España

    ITIL v3, MCSA 2008, MCITP Enterprise Admin
    MCTS SCOM 2007, Windows Vista Configuration
    MCSA 2003 + Security, MCSE 2003 + Security
    MCP ISA SERVER 2000

    El Blog de Dani Gracia
    Dani Gracia en Twitter
    Dani Gracia en LinkedIn

    domingo, 28 de octubre de 2012 19:01
  • muchas gracias por responder,

    Fijate que todas tienen windows 7 ultimate y unas cuantas windows XP SP3. Reinstalare windows en cada maquina y me asegurare que no sean administradores, hay algun tutorial que me puedas dar o ayudarme con la restriccion de instalacion de programas, USB y la coneccion al internet?

    Muchas gracias por toda tu ayuda.

    martes, 30 de octubre de 2012 7:05
  • Para las aplicaciones en Windows 7... AppLocker!

    En el articulo se explica en un entorno de dominio.... pero haciendolo sobre las políticas locales de los equipos funciona igual (Windows 7 Ultimate o Enterprise)

    http://nextadmin.blogspot.com.ar/2011/09/impedir-ejecucion-de-programas-con.html

    Algo simple para los USB... Para Windows XP o superior :)

    http://nextadmin.blogspot.com.ar/2009/10/controlando-los-pendrives-usb.html

    Igualmente, sin un dominio no va a ser fácil configurar eso en todos los equipos

    Esteban

    martes, 30 de octubre de 2012 13:11
  • Muy amable amigo, gracias por tomarte el tiempo de responder. Para windows XP se te ocurre algo?. Ademas alguna sugerencia para restringir o filtar la navegacion a internet? En realidad solo necesito que accesen el correo electronico y una pagina web en particular, lo demas me gustaria nrestringirlo.
    jueves, 1 de noviembre de 2012 0:13
  • El "correo electronico" es un Exchange tuyo o un Hotmail en la Web?

    La pagina Web en particular es tuya o es una web externa?

    Para evitar ejecucion de programas en XP podes usar SRP (Nativo de XP)

    Lo de los USB aplica para XP, Vista, 7 y 8

    Esteban

    jueves, 1 de noviembre de 2012 13:36
  • El correo lo tengo lo tengo en un hosting que pago y administro, y se accesa con outlook, rara ves desde la aplicacion web. Y la pagina web no es mia, es para una empresa de telefonia a la cual le trabajamos.

    Gracias

    jueves, 1 de noviembre de 2012 20:05
  • Entonces la pregunta es...

    Como es que tienen acceso a todo en internet? Algo esta hecho para que esto suceda! La maquinas no se conectan si no las configurar para que eso pase.

    viernes, 2 de noviembre de 2012 12:29
  • Las maquinas se conectan todas a switch que a la vez esta conectado a un router DSL de la compania CLARO. Por el momento la navegacion web esta completamente abierta, los empleados hacen de las suyas descargando de todo.

    Gracias.

    sábado, 3 de noviembre de 2012 2:27
  • Para la parte de la navegación quizás con la instalación de un Proxy server podrías gestionarlo.

    Forefront TMG 2010

    http://www.microsoft.com/en-us/server-cloud/forefront/threat-management-gateway.aspx



    Daniel Graciá - Madrid / España

    ITIL v3, MCSA 2008, MCITP Enterprise Admin
    MCTS SCOM 2007, Windows Vista Configuration
    MCSA 2003 + Security, MCSE 2003 + Security
    MCP ISA SERVER 2000

    El Blog de Dani Gracia
    Dani Gracia en Twitter
    Dani Gracia en LinkedIn

    sábado, 3 de noviembre de 2012 16:27
  • gracias por toda tu ayuda en el transcurso de mis preguntas. Intentare trabajar en todo lo que me has provisto.

    Bendiciones

    lunes, 5 de noviembre de 2012 0:13
  • Buenas noches a todos,

    Antes que nada agradecer a todos los que me ayudaron con el tema anterior.

    La situacion esta de la siguiente manera:

    Ya que las maquinas no estan en un dominio, el asunto de filtar el internet lo termine haciendo con el programa llamado IM locker, este me permite restringir todo el trafico y dejar libre las paginas deseadas o ya sea dejar libre todo el trafico y restringir solo un par de direcciones deseadas.

    La restriccion con las memorias USB lo pude manejar con el link de uno de los foros aqui antes mencionado, modificando el registro y me funciono tanto en windows XP como en 7.

    Con el tema de la prohibicion de la instalacion de programas usando el GPO tengo todavia dudas para lograrlo. Me recomendaron el APPLOCKER en windows 7, dejando de lado que algunas maquinas trabajan en windows XP SP3...

    Talvez no me di a enteder correctamente, pero a este punto lo trato de explicar nuevamente, debo de restringir la instalacion o ejecucion de cualquier aplicacion ya sea portatil o de normal instalacion que no sean las que usaran los empleados (OFFICE, IE, Firefox, un programa propio de una empresa X en visual studio), cualquier otro programa no debe de ser instalado.

    Cual seria una solucion viable para windows XP SP3 y windows 7?

    viernes, 9 de noviembre de 2012 4:29
  • Para Windows 7 Enterprise o Ultimate... APPLOCKER!!!!

    Para Windows XP y otras ediciones de Windows 7 tu mejor opción propia de MS es SRP.

    Esteban

    lunes, 12 de noviembre de 2012 17:54