none
Politica para impedir acceso de usuario a ciertos servidores RRS feed

  • Pregunta

  • Hola a toda la comunidad,

    Resulta que requiero quitar el acceso por terminal de un usuario en especifico para un servidor.

    Este usuario tiene acceso a un servidor de terminal, porque accede a unas aplicaciones que tenemos publicadas, pero no se porque ese usuario también puede iniciar sesión remota en los demás servidores en producción.}

    Existe una politica para impedir que ese usuario sólo tenga acceso a ciertos servidores de la compañia, por ejemplo (Conseder permiso sólo al servidor de archivos, servidor web (ya que es un desarrollador))...?

    Gracias


    Cordialmente: César B. Ingeniero de Sistemas - Administrador TI

    jueves, 18 de octubre de 2012 16:35

Respuestas

  • Hola Cesar,

    Lo que quieres se puede hacer, pero no me ha quedado claro al final que necesitas.

    Si quieres quitarle el acceso a ciertos servidores, puedes usar la política Denegar logon mediante terminal services y denegar el logon de manera local.

    Es bastante sencillo, pero quizás te conviene averiguar de que manera, si es por GPO, por permisos directos en el servidor ... este usuario puede acceder a todos los servidores.

    Para impedirselo, puedes crear una GPO y enlazarla sobre las OUs qeu tengan los servidores a los que quieres denegarle el acceso.



    Daniel Graciá - Madrid / España

    ITIL v3, MCSA 2008, MCITP Enterprise Admin
    MCTS SCOM 2007, Windows Vista Configuration
    MCSA 2003 + Security, MCSE 2003 + Security
    MCP ISA SERVER 2000

    El Blog de Dani Gracia
    Dani Gracia en Twitter
    Dani Gracia en LinkedIn

    • Marcado como respuesta Cesar_Baron viernes, 19 de octubre de 2012 20:42
    jueves, 18 de octubre de 2012 17:54
  • Crea una GPO nueva y configúrala para que se aplique a los servidores a los que no quieres que se conecte el usuario por escritorio remoto (a las cuentas de equipo correspondientes).

    Luego edítala y edita la siguiente política:

    Configuración del equipo - Configuración de Windows - Configuración de seguridad - Asignación de derechos de usuario - Denegar inicio de sesión a través de servicios de escritorio remoto

    y añades la cuenta del usuario en cuestión. Cuando la GPO se aplique a los servidores, el usuario ya no podrá iniciar sesión por TS en los mismos. Si tampoco quieres que inicie sesión local desde la consola, haz lo mismo en la política equivalente que tienes junto a la que te he dicho.


    Saludos
    José Antonio Quílez
    Mi Blog

    • Marcado como respuesta Cesar_Baron viernes, 19 de octubre de 2012 20:43
    jueves, 18 de octubre de 2012 17:57
    Moderador
  • Pues no creo, esas máquinas para los LABs (máquinas virtuales) las suelen tener en los centros de formación y las descarga el instructor.

    Para profundizar en este tema (bastante extenso) yo te recomiendo que instales una máquina virtual la unas a tu dominio y experimentes con ella. Normalmente contamos (yo siempre lo intento) con un entorno de laboratorio en el trabajo, las cosas se prueban (mucho) en laboratorio antes de ponerlas en producción. Si no puedes contar con un laboratorio puedes crear lo que te comentaba una máquina virtual y unirla a tu dominio como un miembro más, lo único es que deberías crear un OU exclusivamente para ella y enlazar las GPOs que estes probando unica y exclusivamente a esa OU, para ver el resultado de las pruebas.

    La consola de gestión de GPOs Group Policy Management Console, tambien te permite simular el resultado de las GPOs que generes.

    Te recomiendo empezar por aquí:

    http://technet.microsoft.com/en-us/library/cc778065%28v=ws.10%29.aspx

    http://4sysops.com/archives/group-policy-preferences-best-practices/

    http://lab.technet.microsoft.com/en-us/magazine/cc137720

    http://windows.microsoft.com/en-US/windows7/Group-Policy-management-for-IT-pros



    Daniel Graciá - Madrid / España

    ITIL v3, MCSA 2008, MCITP Enterprise Admin
    MCTS SCOM 2007, Windows Vista Configuration
    MCSA 2003 + Security, MCSE 2003 + Security
    MCP ISA SERVER 2000

    El Blog de Dani Gracia
    Dani Gracia en Twitter
    Dani Gracia en LinkedIn

    • Marcado como respuesta Cesar_Baron viernes, 19 de octubre de 2012 20:39
    viernes, 19 de octubre de 2012 17:51
  • Tienes que editar la seguridad de la GPO y modificarla para que se aplique solamente a las cuentas de equipo de los servidores en los que no quieres que el usuario inicie sesión. Si no haces esto, se aplicaría a todas las cuentas de equipo del dominio bajo el ámbito de aplicación de la GPO.

    Saludos
    José Antonio Quílez
    Mi Blog

    • Marcado como respuesta Cesar_Baron viernes, 19 de octubre de 2012 20:38
    viernes, 19 de octubre de 2012 18:43
    Moderador
  • Yo te recomendaría no aplicar una GPO de esas caracterísitcas directamente sobre el dominio. Por varios motivos, uno por eficiencia de rendimiento, otro por organización, y otro porque no es una buena práctica.

    Si tienes la posibilidad de acotar o de aplicar la GPO unicamente sobre OUs que sepas que contengan Servidores mejor que mejor, sino tienes esa posibilidad haz lo que comenta José, pero planteate el generar una estrucutra de OUs para tus servidores.

    Saludos



    Daniel Graciá - Madrid / España

    ITIL v3, MCSA 2008, MCITP Enterprise Admin
    MCTS SCOM 2007, Windows Vista Configuration
    MCSA 2003 + Security, MCSE 2003 + Security
    MCP ISA SERVER 2000

    El Blog de Dani Gracia
    Dani Gracia en Twitter
    Dani Gracia en LinkedIn

    • Marcado como respuesta Cesar_Baron viernes, 19 de octubre de 2012 20:38
    viernes, 19 de octubre de 2012 19:48

Todas las respuestas

  • Hola Cesar,

    Lo que quieres se puede hacer, pero no me ha quedado claro al final que necesitas.

    Si quieres quitarle el acceso a ciertos servidores, puedes usar la política Denegar logon mediante terminal services y denegar el logon de manera local.

    Es bastante sencillo, pero quizás te conviene averiguar de que manera, si es por GPO, por permisos directos en el servidor ... este usuario puede acceder a todos los servidores.

    Para impedirselo, puedes crear una GPO y enlazarla sobre las OUs qeu tengan los servidores a los que quieres denegarle el acceso.



    Daniel Graciá - Madrid / España

    ITIL v3, MCSA 2008, MCITP Enterprise Admin
    MCTS SCOM 2007, Windows Vista Configuration
    MCSA 2003 + Security, MCSE 2003 + Security
    MCP ISA SERVER 2000

    El Blog de Dani Gracia
    Dani Gracia en Twitter
    Dani Gracia en LinkedIn

    • Marcado como respuesta Cesar_Baron viernes, 19 de octubre de 2012 20:42
    jueves, 18 de octubre de 2012 17:54
  • Crea una GPO nueva y configúrala para que se aplique a los servidores a los que no quieres que se conecte el usuario por escritorio remoto (a las cuentas de equipo correspondientes).

    Luego edítala y edita la siguiente política:

    Configuración del equipo - Configuración de Windows - Configuración de seguridad - Asignación de derechos de usuario - Denegar inicio de sesión a través de servicios de escritorio remoto

    y añades la cuenta del usuario en cuestión. Cuando la GPO se aplique a los servidores, el usuario ya no podrá iniciar sesión por TS en los mismos. Si tampoco quieres que inicie sesión local desde la consola, haz lo mismo en la política equivalente que tienes junto a la que te he dicho.


    Saludos
    José Antonio Quílez
    Mi Blog

    • Marcado como respuesta Cesar_Baron viernes, 19 de octubre de 2012 20:43
    jueves, 18 de octubre de 2012 17:57
    Moderador
  • Hola Dani Gracia

    Genial tu respuesta, bueno en general las dos respuestas me parecen excelentes...voy a hacer lo que dices pero por GPO, ya que es más fácil de administrar entre todos los servidores.

    Una pregunta casí profesional, hahaha. ¿Existe la forma de conseguir las máquinas de laboratorio de Microsoft para el curso 6425B Parte1 y Parte 2?

    ó cómo podría profundizar en la adminsitración y creación de politicas sobre un AD de Windows, esto según las merjores y buenas prácticas?

    Gracias Dani de nuevo. Saludos!


    Cordialmente: César B. Ingeniero de Sistemas - Administrador TI

    viernes, 19 de octubre de 2012 13:22
  • Hola José Antonio Quílez

    Primero que todo, gracias y excelente tu aporte... voy a crear una GPO.... pregunta cuando cree la GPO en mi AD principal, está en teoría me debería aplicar sobre todas las másquinas en mi dominio o bueno enrealidad sobre todos los servidores en mi dominio con la configuración para ese usuario?

    De nuevo mil gracias por la colaboración.

    Saludos.


    Cordialmente: César B. Ingeniero de Sistemas - Administrador TI

    viernes, 19 de octubre de 2012 13:25
  • Pues no creo, esas máquinas para los LABs (máquinas virtuales) las suelen tener en los centros de formación y las descarga el instructor.

    Para profundizar en este tema (bastante extenso) yo te recomiendo que instales una máquina virtual la unas a tu dominio y experimentes con ella. Normalmente contamos (yo siempre lo intento) con un entorno de laboratorio en el trabajo, las cosas se prueban (mucho) en laboratorio antes de ponerlas en producción. Si no puedes contar con un laboratorio puedes crear lo que te comentaba una máquina virtual y unirla a tu dominio como un miembro más, lo único es que deberías crear un OU exclusivamente para ella y enlazar las GPOs que estes probando unica y exclusivamente a esa OU, para ver el resultado de las pruebas.

    La consola de gestión de GPOs Group Policy Management Console, tambien te permite simular el resultado de las GPOs que generes.

    Te recomiendo empezar por aquí:

    http://technet.microsoft.com/en-us/library/cc778065%28v=ws.10%29.aspx

    http://4sysops.com/archives/group-policy-preferences-best-practices/

    http://lab.technet.microsoft.com/en-us/magazine/cc137720

    http://windows.microsoft.com/en-US/windows7/Group-Policy-management-for-IT-pros



    Daniel Graciá - Madrid / España

    ITIL v3, MCSA 2008, MCITP Enterprise Admin
    MCTS SCOM 2007, Windows Vista Configuration
    MCSA 2003 + Security, MCSE 2003 + Security
    MCP ISA SERVER 2000

    El Blog de Dani Gracia
    Dani Gracia en Twitter
    Dani Gracia en LinkedIn

    • Marcado como respuesta Cesar_Baron viernes, 19 de octubre de 2012 20:39
    viernes, 19 de octubre de 2012 17:51
  • Tienes que editar la seguridad de la GPO y modificarla para que se aplique solamente a las cuentas de equipo de los servidores en los que no quieres que el usuario inicie sesión. Si no haces esto, se aplicaría a todas las cuentas de equipo del dominio bajo el ámbito de aplicación de la GPO.

    Saludos
    José Antonio Quílez
    Mi Blog

    • Marcado como respuesta Cesar_Baron viernes, 19 de octubre de 2012 20:38
    viernes, 19 de octubre de 2012 18:43
    Moderador
  • Yo te recomendaría no aplicar una GPO de esas caracterísitcas directamente sobre el dominio. Por varios motivos, uno por eficiencia de rendimiento, otro por organización, y otro porque no es una buena práctica.

    Si tienes la posibilidad de acotar o de aplicar la GPO unicamente sobre OUs que sepas que contengan Servidores mejor que mejor, sino tienes esa posibilidad haz lo que comenta José, pero planteate el generar una estrucutra de OUs para tus servidores.

    Saludos



    Daniel Graciá - Madrid / España

    ITIL v3, MCSA 2008, MCITP Enterprise Admin
    MCTS SCOM 2007, Windows Vista Configuration
    MCSA 2003 + Security, MCSE 2003 + Security
    MCP ISA SERVER 2000

    El Blog de Dani Gracia
    Dani Gracia en Twitter
    Dani Gracia en LinkedIn

    • Marcado como respuesta Cesar_Baron viernes, 19 de octubre de 2012 20:38
    viernes, 19 de octubre de 2012 19:48
  • Excelente respuesta Dani,

    Gracias infinitas por la colaboración...


    Cordialmente: César B. Ingeniero de Sistemas - Administrador TI

    viernes, 19 de octubre de 2012 20:40
  • ...

    Este usuario tiene acceso a un servidor de terminal, porque accede a unas aplicaciones que tenemos publicadas, pero no se porque ese usuario también puede iniciar sesión remota en los demás servidores en producción.}

    ...

    Gracias


    Cordialmente: César B. Ingeniero de Sistemas - Administrador TI

    Puede que ese usuario pertenezca al grupo de usuarios remotos del dominio, lo que le permite acceder de forma remota a todos los equipos. Si es así, es más sencillo sacrlo de ese grupo y darle acceso solo a la máquina que necesita.
    jueves, 25 de octubre de 2012 16:45