none
Restringir a usuarios una sola rama en el directorio activo RRS feed

  • Pregunta

  • Quiero dar acceso a determinados usuarios de mi empresa a una rama del directorio activo, ¿como restrinjo en dsa.msc para que puedan ir a una sola OU?
    Gracias
    martes, 15 de julio de 2014 9:35

Respuestas

  • Cada arquitectura lógica es un mundo.. Pero habitualmente, a nivel social las OU's suelen referirse a grupos departamentales. Dentro de cada uno se crean/copian los objetos AD que nos interesen organizar como miembros para que tengan asignadas una(s) GPO's de modo que los usuarios/máquinas cumplan con los dictámenes regidos por el master boss..

    Para el caso que señalas, se me ocurren 2 opciones:

    .- Desde la consola DSA.msc, accede a las propiedades de la cuenta de usuario y desde la solapa "Perfiles", hay un apartado de nombre "Iniciar sesión en.." donde, por nombres DNS ó FQDN puedes establecer las únicas máquinas desde donde el usuario X podrá iniciar sesión en el dominio. Como podrás suponer, éste sería el método más restrictivo, y sólo te lo recomendaría para casos MUY concretos..

    .- La otra opcion es crear una GPO que desde "Conf. del equipo => Conf. de Windows => Grupos restringidos" te permita establecer grupos (o usuarios individuales) y posteriormente complementarlo desde "Conf. del equipo => Conf. de Windows => Conf. de seguridad => Políticas locales => Asignaciones de derechos de usuario" donde encontrarás una directiva de nombre "Denegar el inicio de sesión" en el que puedes establecer los usuarios y/o grupos de usuario que desees. Basta con que asignes la GPO a la OU donde NO quieres que los usuarios especificados puedan iniciar la sesión..


    Desiderio Ondo | Bachellor Science in Computer engineering | MCSE certified | ITIL certified | Exchange mailing certified

    • Propuesto como respuesta Uriel Almendra martes, 15 de julio de 2014 16:11
    • Marcado como respuesta Uriel Almendra martes, 12 de agosto de 2014 15:12
    martes, 15 de julio de 2014 11:01

Todas las respuestas

  • Cada arquitectura lógica es un mundo.. Pero habitualmente, a nivel social las OU's suelen referirse a grupos departamentales. Dentro de cada uno se crean/copian los objetos AD que nos interesen organizar como miembros para que tengan asignadas una(s) GPO's de modo que los usuarios/máquinas cumplan con los dictámenes regidos por el master boss..

    Para el caso que señalas, se me ocurren 2 opciones:

    .- Desde la consola DSA.msc, accede a las propiedades de la cuenta de usuario y desde la solapa "Perfiles", hay un apartado de nombre "Iniciar sesión en.." donde, por nombres DNS ó FQDN puedes establecer las únicas máquinas desde donde el usuario X podrá iniciar sesión en el dominio. Como podrás suponer, éste sería el método más restrictivo, y sólo te lo recomendaría para casos MUY concretos..

    .- La otra opcion es crear una GPO que desde "Conf. del equipo => Conf. de Windows => Grupos restringidos" te permita establecer grupos (o usuarios individuales) y posteriormente complementarlo desde "Conf. del equipo => Conf. de Windows => Conf. de seguridad => Políticas locales => Asignaciones de derechos de usuario" donde encontrarás una directiva de nombre "Denegar el inicio de sesión" en el que puedes establecer los usuarios y/o grupos de usuario que desees. Basta con que asignes la GPO a la OU donde NO quieres que los usuarios especificados puedan iniciar la sesión..


    Desiderio Ondo | Bachellor Science in Computer engineering | MCSE certified | ITIL certified | Exchange mailing certified

    • Propuesto como respuesta Uriel Almendra martes, 15 de julio de 2014 16:11
    • Marcado como respuesta Uriel Almendra martes, 12 de agosto de 2014 15:12
    martes, 15 de julio de 2014 11:01
  • Gracias por la rapidez voy a probar ambas opciones y te digo
    martes, 15 de julio de 2014 12:30