none
Limitar permisos para ejecutar vbscript para usuarios del directorio activo RRS feed

  • Pregunta

  • Buenas tardes, quisiera saber si hay alguna política que se pueda aplicar para evitar que usuarios que no son administradores ejecuten script (visualbasic script por ej.) y puedan consultar y modificar información de los objetos que existen en el directorio activo. Por ejemplo desbloquear cuentas.

    Adicionalmente, los usuarios (win xp) tienen privilegios de administrador local en el pc asignado.


    Saludos cordiales
    martes, 3 de marzo de 2009 19:19

Respuestas

  • Hola Pezesillo,

     

    Por defecto los usuarios pueden consultar al directorio activo, pero no desbloquear cuentas a no ser que cuenten con los privilegios espécificos, así que da igual que ejecuten scripts o no, la seguridad debes tenerla a nivel de directorio activo, otra cosa es que quieres impedir un nivel más, como el caso impidiendo la ejecución de BATs, o VBS.

     

    Los usuarios que son administradores locales de XP son admins locales de XP no de DIrectorio activo.

     

    SE me ocurre que puedes implementar Software Restriction Policy, una política de restricción de software y no permitir la ejecución de Wscript.exe and Cscript.exe , indicando la ruta.

    Te dejo este enlace para que lo estudies en profundidad, tambien puedes usar el firewall de Vista y W7 para no permitir ciertas aplicaciones o bloquearlas.

    http://technet.microsoft.com/en-us/library/cc163080.aspx

     

    Tambien puedes usar APPLOCKER pero solo es aplicable en Win7 y 2008R2

     

     


    Salu2!, Dani Gracia - Madrid España MCSA/MCSE 2003 Security MCITP: Enterprise Administrator (Windows Server 2008) MCTS: System Center Operations Manager 2005 MVA: Microsoft Virtual Academy MAP: Microsoft Active Professional (2010/2011) Microsoft Community Contributor 2011
    • Editado Dani Gracia miércoles, 17 de agosto de 2011 16:43 Añadir info
    • Propuesto como respuesta Dani Gracia jueves, 25 de agosto de 2011 17:14
    • Marcado como respuesta Ismael Borche lunes, 29 de agosto de 2011 18:18
    miércoles, 17 de agosto de 2011 15:27

  • Hola , por lo que comentas tienes que ajustar bastante las configuraciones de los usuarios y las restricciones , para este tema te recomiendo el articulo de

     

    Guillermo Delprato    http://social.technet.microsoft.com/Forums/es-ES/wsades/thread/35d227cb-8d34-4ac1-9033-91b5645a027b

    Saludos.


    Saludos Jorge Colobora con el foro: Si la respuesta es de utilidad para resolver tu duda/problema, usa la opción "Marcar como repuesta". Otros usuarios con dudas similares -en un futuro- lo agradecerán.
    • Marcado como respuesta Ismael Borche lunes, 29 de agosto de 2011 18:19
    jueves, 25 de agosto de 2011 17:01

Todas las respuestas

  • Hola,

    Tienes la opcion que sean en logon, por GP para que cuando inicien ejecute dicho script.

    Saludos


    Ramon Ant. Morillo Rodriguez

    MCITP: Enterprise Administrator Windows Server 2008

    MCITP: Enterprise Messaging Administrator Microsoft Exchange 2007

    COMPTIA A+, N+, S+

    Dominican Republic

    miércoles, 17 de agosto de 2011 14:17
  • Hola Pezesillo,

     

    Por defecto los usuarios pueden consultar al directorio activo, pero no desbloquear cuentas a no ser que cuenten con los privilegios espécificos, así que da igual que ejecuten scripts o no, la seguridad debes tenerla a nivel de directorio activo, otra cosa es que quieres impedir un nivel más, como el caso impidiendo la ejecución de BATs, o VBS.

     

    Los usuarios que son administradores locales de XP son admins locales de XP no de DIrectorio activo.

     

    SE me ocurre que puedes implementar Software Restriction Policy, una política de restricción de software y no permitir la ejecución de Wscript.exe and Cscript.exe , indicando la ruta.

    Te dejo este enlace para que lo estudies en profundidad, tambien puedes usar el firewall de Vista y W7 para no permitir ciertas aplicaciones o bloquearlas.

    http://technet.microsoft.com/en-us/library/cc163080.aspx

     

    Tambien puedes usar APPLOCKER pero solo es aplicable en Win7 y 2008R2

     

     


    Salu2!, Dani Gracia - Madrid España MCSA/MCSE 2003 Security MCITP: Enterprise Administrator (Windows Server 2008) MCTS: System Center Operations Manager 2005 MVA: Microsoft Virtual Academy MAP: Microsoft Active Professional (2010/2011) Microsoft Community Contributor 2011
    • Editado Dani Gracia miércoles, 17 de agosto de 2011 16:43 Añadir info
    • Propuesto como respuesta Dani Gracia jueves, 25 de agosto de 2011 17:14
    • Marcado como respuesta Ismael Borche lunes, 29 de agosto de 2011 18:18
    miércoles, 17 de agosto de 2011 15:27

  • Hola , por lo que comentas tienes que ajustar bastante las configuraciones de los usuarios y las restricciones , para este tema te recomiendo el articulo de

     

    Guillermo Delprato    http://social.technet.microsoft.com/Forums/es-ES/wsades/thread/35d227cb-8d34-4ac1-9033-91b5645a027b

    Saludos.


    Saludos Jorge Colobora con el foro: Si la respuesta es de utilidad para resolver tu duda/problema, usa la opción "Marcar como repuesta". Otros usuarios con dudas similares -en un futuro- lo agradecerán.
    • Marcado como respuesta Ismael Borche lunes, 29 de agosto de 2011 18:19
    jueves, 25 de agosto de 2011 17:01