Principales respuestas
Limitar permisos para ejecutar vbscript para usuarios del directorio activo

Pregunta
-
Buenas tardes, quisiera saber si hay alguna política que se pueda aplicar para evitar que usuarios que no son administradores ejecuten script (visualbasic script por ej.) y puedan consultar y modificar información de los objetos que existen en el directorio activo. Por ejemplo desbloquear cuentas.
Adicionalmente, los usuarios (win xp) tienen privilegios de administrador local en el pc asignado.
Saludos cordiales
Respuestas
-
Hola Pezesillo,
Por defecto los usuarios pueden consultar al directorio activo, pero no desbloquear cuentas a no ser que cuenten con los privilegios espécificos, así que da igual que ejecuten scripts o no, la seguridad debes tenerla a nivel de directorio activo, otra cosa es que quieres impedir un nivel más, como el caso impidiendo la ejecución de BATs, o VBS.
Los usuarios que son administradores locales de XP son admins locales de XP no de DIrectorio activo.
SE me ocurre que puedes implementar Software Restriction Policy, una política de restricción de software y no permitir la ejecución de Wscript.exe and Cscript.exe , indicando la ruta.
Te dejo este enlace para que lo estudies en profundidad, tambien puedes usar el firewall de Vista y W7 para no permitir ciertas aplicaciones o bloquearlas.
http://technet.microsoft.com/en-us/library/cc163080.aspx
Tambien puedes usar APPLOCKER pero solo es aplicable en Win7 y 2008R2
Salu2!, Dani Gracia - Madrid España MCSA/MCSE 2003 Security MCITP: Enterprise Administrator (Windows Server 2008) MCTS: System Center Operations Manager 2005 MVA: Microsoft Virtual Academy MAP: Microsoft Active Professional (2010/2011) Microsoft Community Contributor 2011- Editado Dani Gracia miércoles, 17 de agosto de 2011 16:43 Añadir info
- Propuesto como respuesta Dani Gracia jueves, 25 de agosto de 2011 17:14
- Marcado como respuesta Ismael Borche lunes, 29 de agosto de 2011 18:18
-
Hola , por lo que comentas tienes que ajustar bastante las configuraciones de los usuarios y las restricciones , para este tema te recomiendo el articulo deGuillermo Delprato http://social.technet.microsoft.com/Forums/es-ES/wsades/thread/35d227cb-8d34-4ac1-9033-91b5645a027b
Saludos.
Saludos Jorge Colobora con el foro: Si la respuesta es de utilidad para resolver tu duda/problema, usa la opción "Marcar como repuesta". Otros usuarios con dudas similares -en un futuro- lo agradecerán.- Marcado como respuesta Ismael Borche lunes, 29 de agosto de 2011 18:19
Todas las respuestas
-
Hola,
Tienes la opcion que sean en logon, por GP para que cuando inicien ejecute dicho script.
Saludos
Ramon Ant. Morillo RodriguezMCITP: Enterprise Administrator Windows Server 2008
MCITP: Enterprise Messaging Administrator Microsoft Exchange 2007
COMPTIA A+, N+, S+
Dominican Republic
-
Hola Pezesillo,
Por defecto los usuarios pueden consultar al directorio activo, pero no desbloquear cuentas a no ser que cuenten con los privilegios espécificos, así que da igual que ejecuten scripts o no, la seguridad debes tenerla a nivel de directorio activo, otra cosa es que quieres impedir un nivel más, como el caso impidiendo la ejecución de BATs, o VBS.
Los usuarios que son administradores locales de XP son admins locales de XP no de DIrectorio activo.
SE me ocurre que puedes implementar Software Restriction Policy, una política de restricción de software y no permitir la ejecución de Wscript.exe and Cscript.exe , indicando la ruta.
Te dejo este enlace para que lo estudies en profundidad, tambien puedes usar el firewall de Vista y W7 para no permitir ciertas aplicaciones o bloquearlas.
http://technet.microsoft.com/en-us/library/cc163080.aspx
Tambien puedes usar APPLOCKER pero solo es aplicable en Win7 y 2008R2
Salu2!, Dani Gracia - Madrid España MCSA/MCSE 2003 Security MCITP: Enterprise Administrator (Windows Server 2008) MCTS: System Center Operations Manager 2005 MVA: Microsoft Virtual Academy MAP: Microsoft Active Professional (2010/2011) Microsoft Community Contributor 2011- Editado Dani Gracia miércoles, 17 de agosto de 2011 16:43 Añadir info
- Propuesto como respuesta Dani Gracia jueves, 25 de agosto de 2011 17:14
- Marcado como respuesta Ismael Borche lunes, 29 de agosto de 2011 18:18
-
Hola , por lo que comentas tienes que ajustar bastante las configuraciones de los usuarios y las restricciones , para este tema te recomiendo el articulo deGuillermo Delprato http://social.technet.microsoft.com/Forums/es-ES/wsades/thread/35d227cb-8d34-4ac1-9033-91b5645a027b
Saludos.
Saludos Jorge Colobora con el foro: Si la respuesta es de utilidad para resolver tu duda/problema, usa la opción "Marcar como repuesta". Otros usuarios con dudas similares -en un futuro- lo agradecerán.- Marcado como respuesta Ismael Borche lunes, 29 de agosto de 2011 18:19