none
Restringir agregar usuarios al dominio !

    Pregunta

  • El detalle es el siguiente: Estoy instalando Server2003 y todo funciona a la perfección. El problema es que cuando creo un usuario, éste puede agregar equipos al dominio. He buscado en internet y me indica, que por default, los usuarios pueden agregar 10 equipos al dominio, lo que por seguridad, no me parece conveniente cuando trabajas con estudiantes de informática. Lo que necesito saber es, como puedo configurar el dominio, para que solo el administrador pueda agregar equipos al dominio ?

    De antemano, les agradezco cualquier ayuda !!
    miércoles, 06 de enero de 2010 21:36

Respuestas

  • Hola nahabcr, la forma más sencilla de administrar las políticas de grupo en Windows 2003 es instalando GPMC, te agrego el link: http://www.microsoft.com/downloads/details.aspx?FamilyID=0A6D4C24-8CBD-4B35-9272-DD3CBFC81887&displaylang=en

    Pero para no complicarte mas y puedas tener esto listo para el lunes, en Usuarios y equipos de Active Directory, entras, expandes tu dominio y en la unidad organizativa Domain Controllers es donde debes dar click con el botón derecho del mouse, propiedades y directivas de grupo. Prueba y seguro esta vez te funcionara.

    Y respondiendo a tu pregunta de la diferencia de Default Domain Policy y Default Domain Controller Policy es que la primera se aplica a todos los usuarios y equipos del dominio por defecto y la segunda únicamente a los controladores de dominio y los valores que tienen ambas directivas son diferentes.

    Suerte y mantenme informado.

    Juan Valenzuela

    MCT, MCSA, MCSE, MCITP,MCTS,MCDST.

    sábado, 09 de enero de 2010 2:03
  • Exactamente equivocado :-)
    :-D :-D :-D

    Sobre el dominio hay una Default Domain Policy
    Y necesitas editar la que se aplica sólo a los Controladores de Dominio, que se llama Default Domain Controllers Policy

    Son dos directivas diferentes y que se aplican a diferentes objetos.
    A la vista la única diferencia está en la palabra Controllers, pero:

    - La Default Domain Policy, está enlazada al dominio, y se aplica a todos los objetos del dominio.
    - La Default Domain Controllers Policy, está enlazada en la unidad organizativa Domain Controllers y se aplica sólo a los Cotrolarodres de Dominio

    Guillermo Delprato - MVP-MCT-MCITP-MCTS-MCSE MCITP: Server Administration MCTS:Active Directory/Network Infrastructure Buenos Aires, Argentina
    sábado, 09 de enero de 2010 11:58
    Moderador

Todas las respuestas

  • Está definido en los Derechos de Usuario en la GPO que no recuerdo ahora :-(
    Pero es una de estas: Default Domain Policy o Default Domain Controller Policy

    Le sacas ese derecho a los usuarios y listo

    Guillermo Delprato - MVP-MCT-MCITP-MCTS-MCSE MCITP: Server Administration MCTS:Active Directory/Network Infrastructure Buenos Aires, Argentina
    miércoles, 06 de enero de 2010 22:18
    Moderador
  • Otra opcion es cambiar a nivel de dominio el valor de la propiedad MS-DS-MacchineAccountQuota


    Para mas informacion lee por favor la siguiente KB




    Sebastian del Rio - MCP - MCSA +S - MCSE +S - MCITP: Enterprise Administrator Buenos Aires - Argentina Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho. Ud. asume los riesgos This posting is provided "AS IS" with no warranties, and confer no rights. You assume all risk for your use. --
    viernes, 08 de enero de 2010 2:16
    Moderador
  • Hola: debes de modificar la política por defecto “Default Domain Controllers Policy” desde el controlador de dominio, desde “configuración del equipo\configuración de Windows\Configuración de seguridad\directivas locales\asignación de derechos de usuario\agregar estaciones de trabajo al dominio” quitas al grupo usuarios autentificados y agregas al grupo administradores del dominio o al grupo que quieras permitirle agregar equipos al dominio.

    Suerte y mantenme informado.

    Juan Valenzuela

    MCT, MCSA, MCSE, MCITP,MCTS,MCDST

    viernes, 08 de enero de 2010 3:34
  • Ya probé las recomendaciones de uds, pero nada de hecho. De hecho ya lo había leído en otros foros, pero no funciona. Vean  yo busco la política, pero el detalles que me aparece como deshabilitada. Cuando la habilito para agregarle los usuarios o grupos, me aparece en blanco, o sea, no contiene al grupo usuarios autentificados. Entonces lo que hago es que la habilito y agrego solo al usuario administrador o bien, al grupo administradores, porque ya lo hice con los 2 casos y no me funciona. Cualquier usuarios nuevo que cree, puede seguir agregando equipos al dominio.

    Estoy que me vuelvo loco, porque el próximo martes inicio una capacitación en este tema y no he podido resolver el asunto... Y de paso les agradezco a todos lo que se han tomado la molestia de responderme !!!

    Que esten bien


    viernes, 08 de enero de 2010 14:28
  • nahabcr, es tal cual como detalla Juan Valenzuela.

    Si no aparece es que no estás iniciando sesión con usuario con los privilegios necesarios (hay que se administrador del dominio), o no estás en la Default Domain Controller Policy
    No te confundas con la Default Domian Policy

    En la Default Domain Controllers Policy, no sólo está habilitada, sino que además tiene al grupo Usuarios Autentificados incluido

    Guillermo Delprato - MVP-MCT-MCITP-MCTS-MCSE MCITP: Server Administration MCTS:Active Directory/Network Infrastructure Buenos Aires, Argentina
    viernes, 08 de enero de 2010 20:32
    Moderador
  • Ok... Entonces creo qeu estoy buscando la política equivocada.
    A ver si me explico: En el Active Directory doy click derecho sobre el contenedor que dice el nombre de mi dominio, cierto ?
    O estoy equivocado ???  Podrías idicarme cuál es la diferencia entre Default Domian Policy y Default Domain Controllers Policy?

    Te agradezco mucho la ayuda que me estas brindando !!!!!
    viernes, 08 de enero de 2010 21:44
  • Hola nahabcr, la forma más sencilla de administrar las políticas de grupo en Windows 2003 es instalando GPMC, te agrego el link: http://www.microsoft.com/downloads/details.aspx?FamilyID=0A6D4C24-8CBD-4B35-9272-DD3CBFC81887&displaylang=en

    Pero para no complicarte mas y puedas tener esto listo para el lunes, en Usuarios y equipos de Active Directory, entras, expandes tu dominio y en la unidad organizativa Domain Controllers es donde debes dar click con el botón derecho del mouse, propiedades y directivas de grupo. Prueba y seguro esta vez te funcionara.

    Y respondiendo a tu pregunta de la diferencia de Default Domain Policy y Default Domain Controller Policy es que la primera se aplica a todos los usuarios y equipos del dominio por defecto y la segunda únicamente a los controladores de dominio y los valores que tienen ambas directivas son diferentes.

    Suerte y mantenme informado.

    Juan Valenzuela

    MCT, MCSA, MCSE, MCITP,MCTS,MCDST.

    sábado, 09 de enero de 2010 2:03
  • Exactamente equivocado :-)
    :-D :-D :-D

    Sobre el dominio hay una Default Domain Policy
    Y necesitas editar la que se aplica sólo a los Controladores de Dominio, que se llama Default Domain Controllers Policy

    Son dos directivas diferentes y que se aplican a diferentes objetos.
    A la vista la única diferencia está en la palabra Controllers, pero:

    - La Default Domain Policy, está enlazada al dominio, y se aplica a todos los objetos del dominio.
    - La Default Domain Controllers Policy, está enlazada en la unidad organizativa Domain Controllers y se aplica sólo a los Cotrolarodres de Dominio

    Guillermo Delprato - MVP-MCT-MCITP-MCTS-MCSE MCITP: Server Administration MCTS:Active Directory/Network Infrastructure Buenos Aires, Argentina
    sábado, 09 de enero de 2010 11:58
    Moderador
  • Esstimados Juan y Guillermo !!!!!!! NO SABEN LO QUE LES AGRADEZCO LA AYUDA Y LA EXPLICACION !!!... Ahorita estoy en mi casa, y no tengo los equipos necesarios, pero de fijo el lunes a primera hora llego a hacer las pruebas y ahí les comento como me fue. De antemano muchísimas gracias... Son un apoyo genial !
    sábado, 09 de enero de 2010 17:11