Problemas con Plantillas de Seguridad y GPol

06/01/2005 - 11:23 por Mauricio Martinez | Informe spam
Espero estár equivocado, o que se me aclare un poco ello, pero poniendo
atención con un cuadro de políticas definido para Usuarios Restringidos y
con plantilla de Seguridad definida con ciertos privilegios a carpetas en mi
caso denegar carpeta a carpeta desde ..\Windows\System32\*.*, C:\, con
permisos de Lectura y Ejecución únicamente. encontre un problema con los
mismos.
Los Usuarios que son curiosos buscan la forma de accesar a ciertos
programas (que no están restringidos para los administradores y Usuarios
Avanzados) como es el caso de Netscape, Media PLayer, etc.
Por ejemplo habriendo desde (el cuadro de dialogo Abrir de Excel) en
archivos que si tiene permitidos, aún cuando tiene restringido el icono de
Atras, subir Carpeta, y en el cuadro de diálogo solo les aparezca en blanco
al hacer clic en Open (se supone que tiene oculto y sin otros privilegios
sobre otras carpetas), aparece el Icono de UP One Level y si le da clic en
el ícono sin mover la flecha de Look In, pueden abrir hasta las carpetas de
los usuarios Avanzados y merodear entre ellas, ciertamente no tienen
privilegios de modificar pueden ejecutar las demás aplicaciones. Como puedo
hacer para que no puedan ni siquiera navegar por las carpetas, pero sin
quitarle los privilegios a demás aplicaciones que por ende necesitan tener
privilegios sobre ciertas carpetas para poder ejecutarse (en este caso
Remedy que necesita de Modificación, y la Emulación de S390 ), ya que si les
dejo únicamente a las carpetas el privilegio de Lectura y Ejecución no
funcionan estas aplicaciones ya que son de únicamente el Front End y en
realidad se conectan a un servidor que les provee la Info (remedy). Además
que quiero ver si es posible aplicar políticas en el Iexplorer a los
Usuarios restringidos sin que se apliquen a los administradores (porque se
aplica a todos), aún cuando deniego el permiso de Lectura en
%SystemRoot%\System32\GroupPolicy, en la pestana de seguridad a Ciertos
Usuarios Administradores. (que solo son 2) y locales. Algunas políticas
siguen vigentes para dichos administradores, y si quito deshabilito en el
administrador el Asesor de contenido pueden aún los Usuarios restringidos
(que se supone tienen aplicadas las POL) entrar a las páginas restringidas.
Y se supone que solo le quite la clave para el Perfil del Administrador sin
modificarlo en la MMC (Group Policy). Si podeis aclararme esto os
agradeceré.
_____________________________________________
Mauricio Martinez Garcia
First Level Support Analist
IBM México
Clzda Legaria Col. Irrigación.
tel. 52704000 ext. 05228.
e mail: morfeokmg@yahoo.it
morfeo_kmg@hotmail.com
maurmart@mx1.ibm.com
"La mia vita un 'illusione dei miei sogni"

Preguntas similare

Leer las respuestas

#1 Guillermo Delprato [MS-MVP]
06/01/2005 - 12:38 | Informe spam
Mauricio, te sugiero que las preguntas al grupo sean más puntuales. Es
decir con un problema concreto, y además especificando los pasos que has
realizado.
Es más fácil para todos leer, permite conocer qué pasos se han realizado
y dónde puede estar el problema, y además cada uno te puede dar una
ayuda con el tema que sepa o pueda.

Respecto de acceder a ciertas carpetas revisa estas dos entradas en las
directivas:
User Configuration\Administrative Templates\Windows Components\Windows
Explorer\Prevent access to drives from My Computer
User Configuration\Administrative Templates\Windows Components\Windows
Explorer\Hide these specified drives in My Computer

Por otro lado, si tienes problemas porque se las aplica a todos los
usuarios, pues debes hacer una estructura apropiada de unidades
organizativas y aplicar las directivas donde corresponda


Guillermo Delprato
MVP-MCT-MCSE-MCP
Buenos Aires, Argentina

NOTA. Por favor, las preguntas y comentarios en los grupos, así nos
beneficiamos todos.
Este mensaje se proporciona "como está" sin garantías de ninguna clase,
y no otorga ningún derecho. Ud. asume los riesgos
This posting is provided "AS IS" with no warranties, and confers no
rights. You assume all risk for your use.






"Mauricio Martinez" wrote in message
news::
Espero estár equivocado, o que se me aclare un poco ello, pero poniendo
atención con un cuadro de políticas definido para Usuarios Restringidos y

con plantilla de Seguridad definida con ciertos privilegios a carpetas en
mi
caso denegar carpeta a carpeta desde ..\Windows\System32\*.*, C:\, con
permisos de Lectura y Ejecución únicamente. encontre un problema con los

mismos.
Los Usuarios que son curiosos buscan la forma de accesar a ciertos
programas (que no están restringidos para los administradores y Usuarios

Avanzados) como es el caso de Netscape, Media PLayer, etc.
Por ejemplo habriendo desde (el cuadro de dialogo Abrir de Excel) en
archivos que si tiene permitidos, aún cuando tiene restringido el icono de

Atras, subir Carpeta, y en el cuadro de diálogo solo les aparezca en
blanco
al hacer clic en Open (se supone que tiene oculto y sin otros privilegios

sobre otras carpetas), aparece el Icono de UP One Level y si le da clic en

el ícono sin mover la flecha de Look In, pueden abrir hasta las carpetas
de
los usuarios Avanzados y merodear entre ellas, ciertamente no tienen
privilegios de modificar pueden ejecutar las demás aplicaciones. Como
puedo
hacer para que no puedan ni siquiera navegar por las carpetas, pero sin
quitarle los privilegios a demás aplicaciones que por ende necesitan tener

privilegios sobre ciertas carpetas para poder ejecutarse (en este caso
Remedy que necesita de Modificación, y la Emulación de S390 ), ya que si
les
dejo únicamente a las carpetas el privilegio de Lectura y Ejecución no
funcionan estas aplicaciones ya que son de únicamente el Front End y en
realidad se conectan a un servidor que les provee la Info (remedy).
Además
que quiero ver si es posible aplicar políticas en el Iexplorer a los
Usuarios restringidos sin que se apliquen a los administradores (porque se

aplica a todos), aún cuando deniego el permiso de Lectura en
%SystemRoot%\System32\GroupPolicy, en la pestana de seguridad a Ciertos
Usuarios Administradores. (que solo son 2) y locales. Algunas políticas
siguen vigentes para dichos administradores, y si quito deshabilito en el

administrador el Asesor de contenido pueden aún los Usuarios restringidos

(que se supone tienen aplicadas las POL) entrar a las páginas
restringidas.
Y se supone que solo le quite la clave para el Perfil del Administrador
sin
modificarlo en la MMC (Group Policy). Si podeis aclararme esto os
agradeceré.
_____________________________________________
Mauricio Martinez Garcia
First Level Support Analist
IBM México
Clzda Legaria Col. Irrigación.
tel. 52704000 ext. 05228.
e mail:


"La mia vita un 'illusione dei miei sogni"
Respuesta Responder a este mensaje
#2 Mauricio Martinez Garcia
08/01/2005 - 08:13 | Informe spam
A ver describiré todo el procedimiento y los permisos en la GPO de las PC's.

en
Console Root\Computer Configuration\Windows Settings\Security
Settings\Local Policies\User Rights Assignment\...
..Access this Computer from the network - Everyone -
..Back Up Files and directories - Administrators -
..Change the System time - System, i386_support, administrator -
..Log on Locally - i386_support, Administrator, USERPOS -
..Manage Auditing and Security Log - SYSTEM, i386_support, administrator -
..Restore Files and directories -Administrators -
..Shutdown the system Administrators -

Console Root\Computer Configuration\Windows Settings\Security
Settings\Local Policies\Security Options\
..Accounts: Administrator Account Status - Enabled
..Accounts: Guest Account Status - Enable
..Accounts: Limit local account use of blank passwords... - Enabled
..Accounts: Rename Administrator Account - Administrator
..Devices: Allow undock without having to log on - Enabled -
..Devices: Allowed to format and eject removable media - Administrators -
..Devices: Prevent users from installing printer drivers - Enabled -
..Devices:Restrict CD-ROM access to locally logged-on User Only - Enabled -
..Devices:Restrict Floppy access to locally .. - Enabled -
..Interactive Logon:Do not display last User Name - Enabled -
..Interactive Logon:Message text..-"HD POS Login Monitoreado" -
..Interactive Logon:Message title..-"Logon"-

Console Root\Computer Configuration\Windows Settings\Security
Settings\Software Restriction Policies\...
.. Enforcement: All Software files + All Users except local Administrators.
.. trusthed Publishers: Local Computer Admins + Publisher

Console Root\Computer Configuration\Windows Settings\Security
Settings\Software Restriction Policies\Security Levels\
..Unrestricted - Default -
Console Root\Computer Configuration\Windows Settings\Security
Settings\Software Restriction Policies\Additional Rules\...
..%HKLM\SOFTWARE\Microsoft\Windows NT\Current Version\SystemRoot%|TYPE:
Path | Unrestricted
..%HKLM\SOFTWARE\Microsoft\Windows NT\Current Version\SystemRoot%\*.exe
|TYPE: Path | Unrestricted
..%HKLM\SOFTWARE\Microsoft\Windows NT\Current
Version\SystemRoot%\System32\*.exe |TYPE: Path | Unrestricted
..%HKLM\SOFTWARE\Microsoft\Windows NT\Current Version\ProgramFilesDir%
|TYPE: Path | Unrestricted
..C:\HOME\*.* | TYPE: Path | Unirestricted
..c:\Lotus\123\123w.exe | TYPE: Path | Unirestricted
..c:\Lotus\approach\approach.exe |Type: Path | Unrestricted
Así demas programas Nescape, Media Player, PSM, Excel, Iclient, etc.
con Disallowed a Netscp.exe, wmplayer.exe, msn6.exe, etc.
En User configuration tienen deshabilitado todo, aún en Windows
explorer. está todo en Enabled., en Common Open File Dialog únicamente
está Items displayed in Places Bar en Not Condigured
Pero aun así cuando en alguna aplicación permitida Excel, Lotus 123,
etc. le dan File - Open, en el Look In (la busqueda) le dan al boton
Open y asi se van desplazando por las carpetas hasta C:, ..\Program
Files, y ejecutan algunas otras aplicaciones que no se les pusieron
políticas, tal era el caso de Netscape, MSN Explorer, ejecutando desde
ese cuadro de dialogo el programa, o copiando un acceso Directo al
escritorio del Usuario Restringido. Mi pregunta es, que opción puedo dar
sin tener que restringir carpeta a carpeta en Software Restrictions
Policies, o en la plantilla de Seguridad quitarles los permisos? En si
únicamente pueden navegar por estas carpetas, pero si mueven la flecha
indicadora de Look in pierden el path,
El problema es que si deniego algunos permisos a ciertas carpetas como
Program Files, Windows, C:\ algunas Aplicaciones no Funcionan, tal es el
caso de Remedy, la Emulación de AS/400, OS/390. que son necesarias para
la operación.
Estan ocultas las Unidades CD, Floppy, Discos C,D.
Pero si deshabilito User Configuration\Administrative Templates\Windows
Components\Windows Explorer\Prevent access to drives from My Computer no
funcionan estas aplicaciones tampoco. Que puedo hacer entonces?.
email Siga el debate Respuesta Responder a este mensaje
Ads by Google
Help Hacer una preguntaRespuesta Tengo una respuesta
Search Busqueda sugerida