none
Cambiar Política de Windows server 2008 de forma Remota (ningún usuario accede de forma local, incluso administrador) RRS feed

  • Pregunta

  • Hola:

    Configurando un nuevo servidor con Windows Server 2008, y tratando de ocultar la lista de usuarios locales en la pantalla de inicio, cambié la política de seguridad relacionada al acceso local. Le indiqué que usara esta política con el grupo "Usuarios", pero parece que tomó a todos, ya que desde que cerré la sesión ha sido imposible entrar de modo local con cualquier usuario, incluyendo el "Administrador".

    Tengo la contraseña de administrador, entro por regedit y por Administrador de equipos al servidor, incluso accedo al disco local (C$), pero no hay forma de dar con esa política de seguridad de forma remota.

    He buscado foros, y por ahí recomiendan cambiar un valor para permitir el acceso por escritorio remoto, pero no me funciona.

    ¿Hay forma de que me permita entrar de forma local?. ¿Puedo deshabilitar esa política para reversar el cambio?. Estoy desesperado, a pesar que el servidor esta nuevo y no hay nada crítico en su disco.

    Agradezco su ayuda. Hasta ahora no encuentro a nadie que se halla equivocado como yo.

    El Windows Server 2008 esta en Español y es la versión Estándar. Esta nueva la instalación, no tiene dominio ni esta asociado a otro dominio (esta solo). He accedido a los recursos expuestos al principio.

     

    Saludos!

    martes, 26 de abril de 2011 14:39

Respuestas

  • Si el server W2008 o W2008-R2 lo ves en la pantalla de inicio

    Lo importante en realidad es que recuerdes exactamente cuál fue el cambio hecho, y que trajo esa consecuencia. Yo supongo que es en una directiva, pero no sé si fue en una local o en una de dominio.

    Si fue en la local, serviría lo que te comenté. En cambio si fue en una de dominio, habría que unir el cliente al dominio, bajar e instalar las RSAT y agregar la herramienta de administración de directivas para poder editarla

     


    Guillermo Delprato - Buenos Aires, Argentina
    Visite Notas Windows Server
    MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.
    • Propuesto como respuesta Ismael Borche viernes, 6 de mayo de 2011 18:43
    • Marcado como respuesta Ismael Borche lunes, 23 de mayo de 2011 16:28
    • Desmarcado como respuesta Ismael Borche lunes, 23 de mayo de 2011 16:28
    • Marcado como respuesta Uriel Almendra jueves, 11 de abril de 2013 20:20
    martes, 3 de mayo de 2011 18:23
    Moderador

Todas las respuestas

  • Entiendo que el servidor está en grupo de trabajo ¿si?

    Prueba lo siguiente. En otro equipo ejecuta MMC, y carga el complemento Computer Management (lo tengo en inglés), te preguntará si lo enfoca sobre la máquina local, o tienes el botón Examinar, entra por éste, selecciona el equipo con el problema, y corrige el cambio

     


    Guillermo Delprato - Buenos Aires, Argentina
    Visite Notas Windows Server
    MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.
    miércoles, 27 de abril de 2011 18:30
    Moderador
  • Estos son los componentes que he intentado trabajar desde el MMC de una estación ubicada en el mismo grupo de trabajo. No soy un experto en estos temas, asi que disculpa si he probado algo que no es.

    * Administración de equipos, puedo acceder a los usuarios, grupos, etc, pero no veo donde cambiar la politica de seguridad.
    * Editor de objetos de directivas de grupo: elijo el equipo remoto, ahi hay un par de grupos de configuración de equipo y configuración de usuario. He revisado cada miembro del arbol de plantillas y todo me dice "No Configurado" y no logro dar con el perfil que ocasionó el problema.
    * Directivas de Seguridad IP: no hay elementos disponibles en esta vista.
    * Plantillas de Seguridad: intento colocar la misma ruta de las plantillas en el servidor, pero no hay nada que mostrar.

    En la administración de usuarios y grupos tengo unos usuarios llamados "NT AUTHORITY\Interactive (S-1-5-4)" y "NT AUTHORITY\Usuarios atentificados (S-1-5-11). Mi duda es si dejo eso como esta, o podrìa liberar al usuario administrador de esa política. Pregunto porque si hago el cambio desde la consola no se como reversar el cambio.

    Hasta ahora sigo sin poder entrar al servidor de forma local, ni por un acceso remoto :`-(    Agradezco el apoyo de este foro para salvarme de este problemón.

    Otro dato es que puedo acceder al servidor a la unidad local (c$). No se si modificando algún archivo pueda modificar alguna politica.

    Saludos.

     

    [EDITADO]

    P.D. Utilicé la consola MMC desde un Windows 2003 Server Standard y un Windows XP

    miércoles, 27 de abril de 2011 21:35
  • El problema es que yo no puedo saber qué has cambiado para que no permita iniciar sesión interactiva a los usuarios :-)

    Por lo que dices "cambié la política de seguridad" deduzco que lo que has cambiado es la "Local Security Policy"

    Si ese fuera el caso arranca MMC.EXE y carga el complemento Editor de Directivas/políticas de Grupo, y enfócalo en la máquina con problemas.

    Luego ingresa a: Configuración de Máquina, Configuración de Windows, Configuración de Seguridad, Directivas Locales, Asignación de Derechos de Usuario (puede ser que alguna palabra sea diferente porque lo estoy viendo en inglés)

    Revisa derechos configurados, especialmente los relativos a inicio de sesión local o interactivo, a ver si es por ahí que tienes hecho el cambio.

    Si no es así, deberías recordar dónde se hizo el cambio, y veo a ver cómo se puede deshacer remotamente, y si se puede

    Esos "NT AUTOHRITY..." son "grupos especiales".
    Interactive, son todos los usuarios que inician sesión interactivamente (desde el teclado)
    Y Usuarios Autentificados, son todos los usuarios que acceden al sistema. No incluye sólo a Usuarios Anonimos
    Nunca debes denegar derechos o permisos a esos "grupos especiales"

     


    Guillermo Delprato - Buenos Aires, Argentina
    Visite Notas Windows Server
    MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.
    miércoles, 27 de abril de 2011 21:47
    Moderador
  • La política que hice el cambio es "Configuración de equipo\Configuración de Windows\Configuración de seguridad\Directivas locales\Asignación de derechos de usuario\Permitir el inicio de sesión local". En ese parámetro puse al grupo "usuarios" que no se le permitiera el acceso, y no se por que me arrastró el administrador, que pertenece a otroo grupo.

    Al intentar hacer login de forma local, me aparece algo como "Mètodo de Inicio de sesion no es permitido en este equipo"

    Voy a intentar mañana con una consola MMC mas reciente, como la es la de Windows Vista, a ver si veo luz con este caso.

    Gracias Guillermo por tu gran apoyo.

     

     

    miércoles, 27 de abril de 2011 22:22
  • :-) Por más administrador que sea, además es Usuario, ya que esto es lo que le permite usar el equipo. La pertenencia al grupo Administradores sólo le da privilegios adicionales

    Un usuario normalmente pertenece a varios grupos, y el privilegio final es la combinación de todos, salvo que si alguno niega, este último siempre prevalece.

     


    Guillermo Delprato - Buenos Aires, Argentina
    Visite Notas Windows Server
    MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.
    jueves, 28 de abril de 2011 17:50
    Moderador
  • Buenos Dias:

    Estoy cumpliendo con las indicaciones sugeridas, pero no logro dar con las directivas locales utilizando la consola mmc.

    Me fui por MMC, con el componente "Editor de Objetos de Directiva de Grupo", me conecto al servidor y me aparece "Configuración del Equipo\Configuración de Windows\Configuración de Seguridad". Debería continuar con "\directivas locales\asignación de derechos de ususario" pero esto no me aparece. Sólo encuentro "Directiva de Seguridad ip en \\[nombre del servidor] y ahi no muestra mas información.

    Intenté buscar otros lugares, como "\Configuración de usuario\Configuración de Windows\Configuración de Seguridad\" pero me dice que "Windows no puede abrir el archivo de la Plantilla".

    Voy a ver si logro al menos activar el acceso remoto, pero soy novato en esto, así que no voy a profundizar las pruebas, agradezco ayuda.

    Finalmente, el mensaje que aparece cuando trato de acceder de forma local es:

    "No puede iniciar sesión porque el método de inicio de sesión qu esta usando no se permit en este equipo. Póngase en contacto con el administrador de red para obtener mas información.

    Ya me estoy poniendo en contacto con el proveedor que me instaló el windows, porque ya estoy pensando en formatear y reinstalar de nuevo el Sistema Operativo. Estoy un poco desilusionado por no llegar a la solución, aunque con esto y la ayuda tuya he aprendido bastante.

     

    Saludos,

     

    P.D. la consola mmc que utilizo es en Xp, MMC versión 3.0 Versión 5.1. El Editor de la Política de grupo en la cónsola es la versión 1.0.


    viernes, 29 de abril de 2011 15:35
  • No puedes desde un XP a un W2008, tiene que coincidir la versión del sistema operativo

    Si la máquina con problemas es W2008, lo debes hacer por lo menos desde un Vista
    Y si fuera un W2008-R2, lo debes hacer por lo menos desde un Win7

    Nunca se puede administrar un "sistema más nuevo", desde un "sistema más viejo"

     


    Guillermo Delprato - Buenos Aires, Argentina
    Visite Notas Windows Server
    MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.
    viernes, 29 de abril de 2011 22:56
    Moderador
  • Buenas tardes Guillermo:

    Aqui estamos con un gran reto y ya te doy los resultados de lo hecho en la mañana.

    Pude ubicar dos PC con Windows Vista. La que tiene la versión "Starter Edition" no me muestra la opción de políticas de seguridad.

    Por suerte un director tiene un Vista Business Edition, y pensaba que estaba listo con el problema.

    Bueno, no pude encontrar lo que esperaba. Cuando llego a Configuración Local si me muestran mas opciones pero no las esperadas, sino: "Firewall de Windows", "Directivas de Administrador de lista de Redes" y "Directivas de seguridad en \\{servidor}".

    Esto viene del componente de la mmc llamada "Editor de Objetos de Directiva de Grupo" en la ruta: Configuración de Equipo\Configuraciòn de Windows.

    La Consola MMC es de Vista Business Ver 3.0 6.0 (Compilación 6002: Service Pack2).

    No dispongo un PC con Windows 7 a la mano para probar, pero estoy 99% seguro que mi 2008 server no es RD2 (No lo dice en la pantalla de accesos, dice standard edition).

    Estoy en los últimos dias para resolver, porque el miércoles debo dar un estatus y creo que me sale formatear el servidor si no resuelvo (tiene un raid y nunca lo he hecho, que pesadilla). De antemano te doy las Gracias por tener paciencia para responderme cada caso. Quiero solucionar este cangrejo, porque no tengo apoyo de los llamados "amigos", pero en fin.... ese es otro tema.

    Sigo en la pelea.

     

    Saludos,

     

     

    lunes, 2 de mayo de 2011 19:59
  • Si el server W2008 o W2008-R2 lo ves en la pantalla de inicio

    Lo importante en realidad es que recuerdes exactamente cuál fue el cambio hecho, y que trajo esa consecuencia. Yo supongo que es en una directiva, pero no sé si fue en una local o en una de dominio.

    Si fue en la local, serviría lo que te comenté. En cambio si fue en una de dominio, habría que unir el cliente al dominio, bajar e instalar las RSAT y agregar la herramienta de administración de directivas para poder editarla

     


    Guillermo Delprato - Buenos Aires, Argentina
    Visite Notas Windows Server
    MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.
    • Propuesto como respuesta Ismael Borche viernes, 6 de mayo de 2011 18:43
    • Marcado como respuesta Ismael Borche lunes, 23 de mayo de 2011 16:28
    • Desmarcado como respuesta Ismael Borche lunes, 23 de mayo de 2011 16:28
    • Marcado como respuesta Uriel Almendra jueves, 11 de abril de 2013 20:20
    martes, 3 de mayo de 2011 18:23
    Moderador
  • En mi caso es W2008 Estandar Edition . En la pantalla de inicio aparece.

    El cambio fue en las políticas locales, porque no me metí en absoluto con el tema de un dominio. Incluso me encontré en los foros el tema de esas herramientas de administración de directivas que me hablas y en mi desespero las instalé en un pc con vista a ver si encontraba algo, pero me pide entrar como usuario del dominio para proceder a editar las politicas.

    Hace rato me volví a meter con un PC con Vista Business a ver si encontraba el editor de políticas locales, pero me encontré con la misma situación escrita anteriormente: llego hasta configuración de seguridad y no veo nada que diga "directivas locales" o algo parecido.

    Vamos a ver si encuentro hoy alguna última esperanza. El DVD de Windows Server me llega mañana del proveedor que instaló el Windows server por primera vez. Ya cuando lo tenga me tocará reinstalar todo desde cero y ponerle fin al caso, lamentando que no pude encontrar la forma de reversar un cambio de este nivel, esperando no encontrar nada parecido cuando tenga el servidor en un ambiente de producción (literalmente me salvé de haber metido la pata antes de reemplazar el servidor).

     

    Saludos y muchas gracias Guillermo por tu interés en darle a los usuarios la orientación necesaria para explotar las funcionalidades de los servidores Windows.

    martes, 3 de mayo de 2011 19:00
  • Si son las políticas locales, entonces en el Vista ejecuta MMC.EXE, carga el complemento para editar directivas, pero enfocándolo en la otra máquina. Deberías poder sin problema, siempre y cuando la otra te autentique como administrador.
    Podrías usar "usuario duplicado", mismo nombre, misma contraseña

     


    Guillermo Delprato - Buenos Aires, Argentina
    Visite Notas Windows Server
    MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.
    martes, 3 de mayo de 2011 20:23
    Moderador
  • Buenas tardes:

    Les cuento que el dia de ayer se formateó y se hizo una instalación desde cero del 2008 server estándar. Lamentablemente la paciencia se agotó, y dado que no teníamos ningún sistema crítico o servicio de dió la orden de reinstalar todo en el servidor. Con esto desapareció el servidor con problemas.

    En consecuencia, el tema se da como cerrado por aqui y sin una solución al caso, pero se obtuvo un valioso aprendizaje y los datos de este foro serán de utilidad, esperando que nadie pase por lo que yo viví.

    Guillermo, desde Caracas te mando un gran agradecimiento, estaré cerca de este foro, y ya he explorado tu blog, a fin de obtener mas conocimientos.

    El Windows Server 2008 es una bestia (fabuloso) en cuanto a las posibilidades que te puede dar en perfiles de seguridad y administración de equipos (si metiera los pc en un dominio), pero me quedó el miedito de no volver a vivir una situación de este tipo.

    Al final no encontré el componente de mmc para editar las directivas desde otro PC, buscaré una pc con windows 7 para ver al menos la existencia de esta extensión, porque en Vista y XP es imposible. Incluso me atrevo a pensar que por ser el 2008 una versión estándar omita una serie de caracteristicas de administración.

    Saludos.

    viernes, 6 de mayo de 2011 20:58
  • Bueno, si ya se reinstaló no hay mucho para hacer ahora :-)

    De todas formas me alegro que aunque se usara una solución tan drástica al final funcionara

    Y para agregar, algunos consejos fundamentales para Active Directory:

    • Si usas W2008 (no W2008-R2) asegúrate que tengas el último Service Pack (2) y todas las actualizaciones posteriors (es crítico el Service Pack)
    • Si van a tener dominio, por lo menos DOS controladores de dominio, si no hay plata para dos equipos servidores, pon uno en equipo servidor, y otro en un PC "bien armado".
      Lo importante es que sean dos para tener tolerancia a fallas.

    La versión Standard no difiere en las características que nombras de una Enterprise o Datacenter.

     


    Guillermo Delprato - Buenos Aires, Argentina
    Visite Notas Windows Server
    MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.
    viernes, 6 de mayo de 2011 23:38
    Moderador
  • Buen dia amigo a mi me paso lo mismo hace tiempo luego de revisar muchas cosas consegui la solucion. lo que tienes que hacer en un futuro si te vuelve a ppasar es:

    ir a Inicio> Herramientas administrativas> Directiva de seguridad local

    Luego a Directivas locales> Asignacion de derechoos de usuarios

    y buscas la opcion que dice Permitir el inicio de sesion local le das modificar y añades el usuario o grupo al que pertenece para que tenga acceso

    si usas terminal server que me imagino que si debes habilitar tambien esa opcion...

    domingo, 22 de mayo de 2011 21:47
  • :-) Esa es la forma de permitir "inicio de sesión local" si tienes la sesión iniciada localmente :-)

    Pero si no te deja iniciar sesión local ¿cómo vas a Inicio...? :-)

     


    Guillermo Delprato - Buenos Aires, Argentina
    Visite Notas Windows Server
    MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.
    domingo, 22 de mayo de 2011 22:40
    Moderador
  • Buenos Dias stewardjj:

    Yo se exactamente  cual es la directiva de seguridad afectada. El gran problema es como llegar a ella si tienes la sesión cerrada en el servidor y NINGÚN usuario puede acceder de forma local.

    Mis intentos fueron a través de la consola MMC desde un equipo conectado a la misma red (que no tiene dominio)  sin éxito. El forista Guillermo me ha orientado pero no puedo ver ese acceso desde la consola.

    Revisando un poco el servidor, encontré que existen unos componentes que al configurarlos podrían ayudar a que si los pueda ver desde la cónsola mmc. Por supuesto, esto son indagaciones sin base sólida, que deben ser probadas con tiempo, el cual no tengo porque estoy peleando con SQL Server 2008 Express y una base de datos que atache y no la puede ver mi aplicación (eso es otro caso).

     

    Saludos y gracias por seguir en la búsqueda de soluciones a este caso extremo. Recuerden que mi solución fue formatear el servidor y perder todo.

     

    lunes, 23 de mayo de 2011 13:18