none
denegar computadores no definidos en dominio RRS feed

  • Pregunta

  • buen dia a todos los foristas

    este es mi primer post en esta comunidad, y se debe a una problematica que tengo en la empresa donde laboro.

     

    pregunta.   como niego el acceso a un computador no definido en mi domino (win server 2003)?.  si bien tengo usuarios definidos, al momento de utilizar una pc cualquiera e introduzco una cuenta definida en active directory se loguean sin problemas. y el computador se une sin inconvenientes. todo computador tiene nombre de equipo, necesito como denegar al acceso a esos nombres de equipo no definidos, que puedan entrar a mi dominio y a la red.

    ej.   cualquier persona con computador personal puede llegar a la empresa, se conecta y de inmediato tiene acceso a recursos compartidos e internet.

     

    como me quito este dolor de cabeza?

    agradezco de antemano la ayuda que me puedan brindar.

    gracias mil.

    miércoles, 19 de mayo de 2010 15:41

Respuestas

  • Hola Jorge,

    Por lo que comentas en principio yo haria dos cosas:

    1. Por lo que comentas tienes controlados los equipos de la red y tienes configurado un DHCP, entonces primero crea el ambito de modo que el numero de IP´s coincida con el numero de máquinas que en tu red usan DHCP, segundo realiza asignaciones estaticas basandote en la MAC de las tarjetas de tus equipos. De este modo cuando un equipo "externo" se conecte a tu red con DHCP habilitado no recibira dirección ya que no tiene asignación estatica y no quedan direcciones libres que puede tomar.
    2. EL tema del acceso a recursos es peor, deberias revisar los permisos en estos recursos, definir grupos locales de seguridad y añadir a estos grupos a los usuarios que realmente tengan que acceder y conceder permisos a los grupos en cuestion. Y desde luego quitar a "Todos" de cualquier recurso compartido y deshabilita la cuentas de "invitado" de todos los servidores o equipos que compartan recursos.

    Suerte

    Un saludo

    GregoJ

       


    "Saber que se sabe lo que se sabe y que no se sabe lo que no se sabe; he aquí el verdadero saber." Confucio
    miércoles, 19 de mayo de 2010 17:24
  • Hola Jorge, dime si interpreto bien tu pregunta: que los usuarios del dominio, no puedan por sí mismo agregar máquinas al dominio ¿es eso?

    Si fuera así, debes editar la Default Domain Controllers Policy. Te paso el camino pero en inglés que es lo que tengo ahora a la vista. Seguro que lo encuentras fácil si tienes el sistema en español.
    Computer Configuration / Windows Settings / Securty Settings / Local Policies / User Rights Assignment /
    Vas a encontrar un derecho que es "Add workstations to domain". Elimina del mismo al grupo Usuarios Autentificados.

     


    Guillermo Delprato - MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration --- Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos. --- Buenos Aires, Argentina
    miércoles, 19 de mayo de 2010 18:35
    Moderador

Todas las respuestas

  • Hola Jorge,

    Por lo que comentas en principio yo haria dos cosas:

    1. Por lo que comentas tienes controlados los equipos de la red y tienes configurado un DHCP, entonces primero crea el ambito de modo que el numero de IP´s coincida con el numero de máquinas que en tu red usan DHCP, segundo realiza asignaciones estaticas basandote en la MAC de las tarjetas de tus equipos. De este modo cuando un equipo "externo" se conecte a tu red con DHCP habilitado no recibira dirección ya que no tiene asignación estatica y no quedan direcciones libres que puede tomar.
    2. EL tema del acceso a recursos es peor, deberias revisar los permisos en estos recursos, definir grupos locales de seguridad y añadir a estos grupos a los usuarios que realmente tengan que acceder y conceder permisos a los grupos en cuestion. Y desde luego quitar a "Todos" de cualquier recurso compartido y deshabilita la cuentas de "invitado" de todos los servidores o equipos que compartan recursos.

    Suerte

    Un saludo

    GregoJ

       


    "Saber que se sabe lo que se sabe y que no se sabe lo que no se sabe; he aquí el verdadero saber." Confucio
    miércoles, 19 de mayo de 2010 17:24
  • Hola Jorge, dime si interpreto bien tu pregunta: que los usuarios del dominio, no puedan por sí mismo agregar máquinas al dominio ¿es eso?

    Si fuera así, debes editar la Default Domain Controllers Policy. Te paso el camino pero en inglés que es lo que tengo ahora a la vista. Seguro que lo encuentras fácil si tienes el sistema en español.
    Computer Configuration / Windows Settings / Securty Settings / Local Policies / User Rights Assignment /
    Vas a encontrar un derecho que es "Add workstations to domain". Elimina del mismo al grupo Usuarios Autentificados.

     


    Guillermo Delprato - MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration --- Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos. --- Buenos Aires, Argentina
    miércoles, 19 de mayo de 2010 18:35
    Moderador