none
Problema usuarios sin privilegios de ADM, no aparece opcion Apagar RRS feed

  • Pregunta

  • Estimados.

    Al iniciar sesion con cualquier usuario del dominio sucede que cuando se quiere apagar el equipo, aunque se presione el boton de apagar que aparece en Inicio, solo aparece la opcion de cerrar sesion, la opcion de apagar solo esta activa con usuarios con privilegios de administracion.

    Alguna ayuda para solucionar esto?...el dominio esta bajo Windows server 2003.

    MakerHunter
    viernes, 5 de junio de 2009 0:54

Respuestas

  • Los puertos necesarios para el correcto funcionamiento de AD estan en la KB que te comparti :)

    Puertos de clientePuerto de servidorServicio
    1024-65535/TCP 135/TCP RPC
    1024-65535/TCP 1024-65535/TCP Servicios LSA RPC (*)
    1024-65535/TCP/UDP 389/TCP/UDP LDAP
    1024-65535/TCP 636/TCP LDAP SSL
    1024-65535/TCP 3268/TCP LDAP GC
    1024-65535/TCP 3269/TCP LDAP GC SSL
    53,1024-65535/TCP/UDP 53/TCP/UDP DNS
    1024-65535/TCP/UDP 88/TCP/UDP Kerberos
    1024-65535/TCP 445/TCP SMB

    Sebastian del Rio. MCP - MCSA +S - MCSE +S - MCTS: AD - MCTS: ISA 2006 Buenos Aires - Argentina
    martes, 9 de junio de 2009 2:03
    Moderador

Todas las respuestas

  • La GPO que maneja el setting que mencionas es la siguiente

    User Configuration - Administrative Templates - StartupMenu And Task Bar  - Remove and prevent access to the Shut Down command.

    Por lo cual puedes modificar tus politicas de grupo asignando los permisos a quien requieras.




    Sebastian del Rio. MCP - MCSA +S - MCSE +S - MCTS: AD - MCTS: ISA 2006 Buenos Aires - Argentina
    viernes, 5 de junio de 2009 2:14
    Moderador
  • Estimado.

    ya habia revisado dicha configuracion, actualmente aparece como no configurado.

    te comento que esto sucedio despues de migar servidor AD desde Windows 2000, hacia Windows 2003, y no he encontrado solucion para aquello.
    MakerHunter
    sábado, 6 de junio de 2009 1:06
  • En la maquina cliente (Logueado con el usuario que no tiene privilegios ) ejecuta rsop.msc en la ventana que aparece navega hasta  Configuration - Administrative Templates - StartupMenu And Task Bar  - Remove and prevent access to the Shut Down command. ahi aparece no configurado ?

    Slds
    Sebastian del Rio


    Sebastian del Rio. MCP - MCSA +S - MCSE +S - MCTS: AD - MCTS: ISA 2006 Buenos Aires - Argentina
    sábado, 6 de junio de 2009 10:05
    Moderador
  • Ok, gracias voy a hacer las pruebas correspondientes.

    Otra consulta, estoy haciendo otras pruebas con Active directory, y tengo la siguiente duda:

    Si tengo un servidor Active directory en el segmento de Red IP 192.168.1.0,

    y quiero permitir acceso a ese servidor y a todos los equipos y recursos de esa Red, al segmento 192.168.3.0.

    que debo hacer?
    MakerHunter
    lunes, 8 de junio de 2009 17:32
  • Makerhunter, un usuario normal no tiene que iniciar sesión en un servidor para trabajar, y no tiene el derecho de apagar el servidor. Sólo imagina que un usuario apague el servidor y dejaría desconectados a todos los demás usuarios.

    Si aún quieres que un usuario pueda apagar el servidor, debes primero localizar cuál es la GPO que se está aplicando a ese servidor y luego hacer como te dice Sebastian. Y además revisar los User Rights de dicha GPO.

    Con respecto al tema permisos, los mismo no se hacen dan por segmento de red. Los permisos se manejan por grupos (lo mejor), o eventualmente por cuenta de usuario.

    Guillermo Delprato - MVP - MCT - MCSE - MCSA - MCTS:AD Buenos Aires, Argentina
    lunes, 8 de junio de 2009 19:06
    Moderador
  • Estimado.

    desde el principio me he referido a que los usuarios no pueden apagar sus propias maquinas, no me refiero a los servidores.

    respecto a los segmentos de IP, que sucede si mi Red 192.168.1.0 esta quedando sin direcciones IP disponibles, y se comienza a usar un nuevo segmento (192.168.2.0), que debo hacer en el servidor active directory, para permitir a este nuevo segmento poder ingresar las maquinas al dominio y que estas puedan acceder a los recursos de los servidores y a recursos compartidos de maquinas del segmento 192.168.1.0.

    ¿?

    MakerHunter
    lunes, 8 de junio de 2009 19:25
  • En ese caso tienes mal dimensionada tu red , le han errado con el direccionamiento :).
    Puedes simplemente crear la Subnet en Sites And Services, y luego asignar esa subnet al site correspondiente. Siempre y cuando la conectividad entre ambas redes sean correctas no deberias tener incovenientes. En caso de tener un firewall en medio de las dos redes ten en cuenta http://support.microsoft.com/kb/179442.




    Sebastian del Rio. MCP - MCSA +S - MCSE +S - MCTS: AD - MCTS: ISA 2006 Buenos Aires - Argentina
    lunes, 8 de junio de 2009 19:41
    Moderador
  • las 2 subredes se ven entre si, aunque aveces hay problemas entre equipos de diferentes subredes, y desabilitando el firewall de windows se soluciona,

    seran estos los puertos para poner en las excepciones del firewall:

    137/UDP 137/UDP Nombre NetBIOS
    138/UDP 138/UDP Netlogon y exploración de NetBIOS



    MakerHunter
    martes, 9 de junio de 2009 2:02
  • Los puertos necesarios para el correcto funcionamiento de AD estan en la KB que te comparti :)

    Puertos de clientePuerto de servidorServicio
    1024-65535/TCP 135/TCP RPC
    1024-65535/TCP 1024-65535/TCP Servicios LSA RPC (*)
    1024-65535/TCP/UDP 389/TCP/UDP LDAP
    1024-65535/TCP 636/TCP LDAP SSL
    1024-65535/TCP 3268/TCP LDAP GC
    1024-65535/TCP 3269/TCP LDAP GC SSL
    53,1024-65535/TCP/UDP 53/TCP/UDP DNS
    1024-65535/TCP/UDP 88/TCP/UDP Kerberos
    1024-65535/TCP 445/TCP SMB

    Sebastian del Rio. MCP - MCSA +S - MCSE +S - MCTS: AD - MCTS: ISA 2006 Buenos Aires - Argentina
    martes, 9 de junio de 2009 2:03
    Moderador
  • Estimado.

    desde el principio me he referido a que los usuarios no pueden apagar sus propias maquinas, no me refiero a los servidores.

    respecto a los segmentos de IP, que sucede si mi Red 192.168.1.0 esta quedando sin direcciones IP disponibles, y se comienza a usar un nuevo segmento (192.168.2.0), que debo hacer en el servidor active directory, para permitir a este nuevo segmento poder ingresar las maquinas al dominio y que estas puedan acceder a los recursos de los servidores y a recursos compartidos de maquinas del segmento 192.168.1.0.

    ¿?

    MakerHunter

    Pues nunca haz dicho que eran los "usuarios no pueden apagar sus propias máquinas. Simplemente lee tu post original :-)

    Por omisión un usuario puede apagar una máquina cliente. Así que si no puede, debes revisar en las GPOs que se están aplicando tanto a máquina como a usuarios, porque en ese lugar se ha modificado.

    Por otra parte, si tienes diferentes segmentos de red, no hay ningún problema con los clientes con tal que tengan conectividad de red.

    Si tienes dos subredes diferentes, se necesita un router para poder interconectar las redes eso es todo.
    Aunque si en realidad están sobre la misma red, es decir no hay WAN y están todos en la misma LAN, te va a ser mucho más convenientes que cambies el direccionamiento IP por uno adecuado. Piensa que por más router que pongas, éste constituirá el "cuello de botella" ya que de por sí será el component más lento de la red por el que deben pasar los clientes.
    Además seguramente deberás hacer entradas en la tabla de ruteo de las máquinas.

    Guillermo Delprato - MVP - MCT - MCSE - MCSA - MCTS:AD Buenos Aires, Argentina
    martes, 9 de junio de 2009 18:03
    Moderador
  • Esta todo aquello listo, las maquinas se ven, se pueden ingresar maquinas de ambas subredes al dominio, solo sucedia que al tratar de acceder a recursos de los PCs de diferente subred no permitia conexion, pero al hacerlo desde la misma subred si se podia, esto se resolvio momentaneamente desabilitrando firewall de Windows.

    Respecto a los usuarios que no podian apagar sus propias maquinas, a noser que tubiesen privilegios de administracion, esto solo me sucedio en un hambiente de prueba con maquinar virtuales, por lo cual aparecio esa duda.
    MakerHunter
    martes, 9 de junio de 2009 20:00
  • Hola Sebastian.

    Te cuento que tengo el mismo problemita (los usuarios sin privilegios adm no les aparece la opcion de apagar). Ya hice lo que dijiste mas arriba y la opcion que aparece es "Remove and prevent access to the log off command" nada de shutdown command... que me recomiendas?
    miércoles, 5 de agosto de 2009 20:30