restricciones para local admins

02/07/2009 - 21:09 por Luis Falch Rojas | Informe spam
Hola a todos..
Vamos a implementar una instalacion en limpio de un dominio, aproximadamente
50 usuarios.
Casi todos los equipos son XP. solo un 10 % es Vista
El 90 % de los usuarios son avanzados (desarrolladores/programadores, etc,
etc), y necesitan si o si ser miembros del grupo local de administradores.
Alguien puede darme algunas sugerencias/buenas practicas a realizar o en
cuanto a donde consigo info
acerca de procedimientos para:
- Los usuarios no deben modificar la configuración IP de sus PCs.
- Los usuarios no deben modificar iniciar/detener/pausar servicios.
- En lo posible modificaciones del registro que involucren
red/seguridad/servicios/cuentas de usuarios no podrian realizar
- Cualquier otra sugerencia.

La idea es otorgarle derechos locales a los usuarios sobre sus respectivos
equipos, sin que ellos puedan bloquear anular o modificar cuestiones que
imposibiliten al System Admin de realizar tareas en sus respectivas PC's...

de antemano gracias por las sugerencias...

Luis F.

Preguntas similare

Leer las respuestas

#1 Javier Inglés [MS MVP]
03/07/2009 - 10:19 | Informe spam
Si son administradores locales lo más que podrás hacer es intentar "paliar"
la situación configurando las GPO que necesites a nivel dedominio u OU para
restringirles accesos a donde consideres que no deben acceder.

Evidentemente, podrán acceder localmente al equipo y modificar todo lo que
les venga en gana, por lo que en esos casos GPOs que pueden ser
interesantes:

Description of Group Policy Restricted Groups

http://support.microsoft.com/defaul...-us;279301



HOW TO: Use Restricted Groups in Windows 2000

http://support.microsoft.com/defaul...-us;228496

HOW TO: Restrict Group Membership By Using Group Policy in Windows 2000

http://support.microsoft.com/defaul...-us;320045

Lista de dominios/Domain List - How to restrict use of a computer to one
domain user only

http://support.microsoft.com/kb/555317/en-us



How to change default logon domain name in the logon screen

http://support.microsoft.com/kb/555050/en-us



How can I hide the drop-down list of domains that appears on the logon
screen of Windows XP and later machines?

http://www.windowsitpro.com/Article....html?Ad=1



How can I use Group Policy to hide the domain drop down list on the Windows
Logon dialog box?

http://www.windowsitpro.com/Article...93256.html



Otra posibilidad es que tengas un entorno de producción en la que no tengan
permisos, y otro entorno de desarrollo que es al que se conectan y puedan
hacer lo que necesiten con más permisos (evidentmeente ambos entornos están
"separados" para que no interfieran en uno u otro); lo malo de esto es que
generalmente requiere más inversión para llevarlo a cabo, pero tienes más
seguridad y estabilidad a cambio
Salu2!!
Javier Inglés
https://mvp.support.microsoft.com/p...B5567431B0
MS MVP, Windows Server-Directory Services




"Luis Falch Rojas" escribió en el mensaje
news:e5jnmj0%
Hola a todos..
Vamos a implementar una instalacion en limpio de un dominio,
aproximadamente
50 usuarios.
Casi todos los equipos son XP. solo un 10 % es Vista
El 90 % de los usuarios son avanzados (desarrolladores/programadores, etc,
etc), y necesitan si o si ser miembros del grupo local de administradores.
Alguien puede darme algunas sugerencias/buenas practicas a realizar o en
cuanto a donde consigo info
acerca de procedimientos para:
- Los usuarios no deben modificar la configuración IP de sus PCs.
- Los usuarios no deben modificar iniciar/detener/pausar servicios.
- En lo posible modificaciones del registro que involucren
red/seguridad/servicios/cuentas de usuarios no podrian realizar
- Cualquier otra sugerencia.

La idea es otorgarle derechos locales a los usuarios sobre sus respectivos
equipos, sin que ellos puedan bloquear anular o modificar cuestiones que
imposibiliten al System Admin de realizar tareas en sus respectivas
PC's...

de antemano gracias por las sugerencias...

Luis F.



Respuesta Responder a este mensaje
#2 Luis Falch Rojas
03/07/2009 - 14:46 | Informe spam
Mil gracias Javier

Lo pondré en práctica..

Si es encesario que sean Administradores locales, ya que he visto mil y una
forma de que desarrollen / programen sin estos permisos locales, pero
siempre tropiezo con algo, y es mas problematico para mi andar buscando
soluciones parciales, mientras que al ser administradores locales en sus
pcs, trabajan sin problema alguno; ya el problema surge porque como todos
saben, siempre hay uno o dos que quieren hacer lo que les de la gana, y a
veces interfieren mis tareas administrativas(soporte remoto, modificaciones
al registro remotamente, revision de visores de eventos, despliegue de
parches y updates, antivirus, etc, etc, etc).

gracias de nuevo y saludos...

Luis Falch

"Javier Inglés [MS MVP]" wrote in message
news:uP56Dc7%
Si son administradores locales lo más que podrás hacer es intentar
"paliar" la situación configurando las GPO que necesites a nivel dedominio
u OU para restringirles accesos a donde consideres que no deben acceder.

Evidentemente, podrán acceder localmente al equipo y modificar todo lo que
les venga en gana, por lo que en esos casos GPOs que pueden ser
interesantes:

Description of Group Policy Restricted Groups

http://support.microsoft.com/defaul...-us;279301



HOW TO: Use Restricted Groups in Windows 2000

http://support.microsoft.com/defaul...-us;228496

HOW TO: Restrict Group Membership By Using Group Policy in Windows 2000

http://support.microsoft.com/defaul...-us;320045

Lista de dominios/Domain List - How to restrict use of a computer to one
domain user only

http://support.microsoft.com/kb/555317/en-us



How to change default logon domain name in the logon screen

http://support.microsoft.com/kb/555050/en-us



How can I hide the drop-down list of domains that appears on the logon
screen of Windows XP and later machines?

http://www.windowsitpro.com/Article....html?Ad=1



How can I use Group Policy to hide the domain drop down list on the
Windows Logon dialog box?

http://www.windowsitpro.com/Article...93256.html



Otra posibilidad es que tengas un entorno de producción en la que no
tengan permisos, y otro entorno de desarrollo que es al que se conectan y
puedan hacer lo que necesiten con más permisos (evidentmeente ambos
entornos están "separados" para que no interfieran en uno u otro); lo malo
de esto es que generalmente requiere más inversión para llevarlo a cabo,
pero tienes más seguridad y estabilidad a cambio
Salu2!!
Javier Inglés
https://mvp.support.microsoft.com/p...B5567431B0
MS MVP, Windows Server-Directory Services




"Luis Falch Rojas" escribió en el mensaje
news:e5jnmj0%
Hola a todos..
Vamos a implementar una instalacion en limpio de un dominio,
aproximadamente
50 usuarios.
Casi todos los equipos son XP. solo un 10 % es Vista
El 90 % de los usuarios son avanzados (desarrolladores/programadores,
etc,
etc), y necesitan si o si ser miembros del grupo local de
administradores.
Alguien puede darme algunas sugerencias/buenas practicas a realizar o en
cuanto a donde consigo info
acerca de procedimientos para:
- Los usuarios no deben modificar la configuración IP de sus PCs.
- Los usuarios no deben modificar iniciar/detener/pausar servicios.
- En lo posible modificaciones del registro que involucren
red/seguridad/servicios/cuentas de usuarios no podrian realizar
- Cualquier otra sugerencia.

La idea es otorgarle derechos locales a los usuarios sobre sus
respectivos equipos, sin que ellos puedan bloquear anular o modificar
cuestiones que imposibiliten al System Admin de realizar tareas en sus
respectivas PC's...

de antemano gracias por las sugerencias...

Luis F.








Respuesta Responder a este mensaje
#3 Javier Inglés [MS MVP]
03/07/2009 - 14:52 | Informe spam
Sí socio, es una guerra que creo que pasamos todos alguna vez ;-))

Salu2!!
Javier Inglés
https://mvp.support.microsoft.com/p...B5567431B0
MS MVP, Windows Server-Directory Services



"Luis Falch Rojas" escribió en el mensaje
news:ujWMWy9%
Mil gracias Javier

Lo pondré en práctica..

Si es encesario que sean Administradores locales, ya que he visto mil y
una forma de que desarrollen / programen sin estos permisos locales, pero
siempre tropiezo con algo, y es mas problematico para mi andar buscando
soluciones parciales, mientras que al ser administradores locales en sus
pcs, trabajan sin problema alguno; ya el problema surge porque como todos
saben, siempre hay uno o dos que quieren hacer lo que les de la gana, y a
veces interfieren mis tareas administrativas(soporte remoto,
modificaciones al registro remotamente, revision de visores de eventos,
despliegue de parches y updates, antivirus, etc, etc, etc).

gracias de nuevo y saludos...

Luis Falch

"Javier Inglés [MS MVP]" wrote in message
news:uP56Dc7%
Si son administradores locales lo más que podrás hacer es intentar
"paliar" la situación configurando las GPO que necesites a nivel
dedominio u OU para restringirles accesos a donde consideres que no deben
acceder.

Evidentemente, podrán acceder localmente al equipo y modificar todo lo
que les venga en gana, por lo que en esos casos GPOs que pueden ser
interesantes:

Description of Group Policy Restricted Groups

http://support.microsoft.com/defaul...-us;279301



HOW TO: Use Restricted Groups in Windows 2000

http://support.microsoft.com/defaul...-us;228496

HOW TO: Restrict Group Membership By Using Group Policy in Windows 2000

http://support.microsoft.com/defaul...-us;320045

Lista de dominios/Domain List - How to restrict use of a computer to one
domain user only

http://support.microsoft.com/kb/555317/en-us



How to change default logon domain name in the logon screen

http://support.microsoft.com/kb/555050/en-us



How can I hide the drop-down list of domains that appears on the logon
screen of Windows XP and later machines?

http://www.windowsitpro.com/Article....html?Ad=1



How can I use Group Policy to hide the domain drop down list on the
Windows Logon dialog box?

http://www.windowsitpro.com/Article...93256.html



Otra posibilidad es que tengas un entorno de producción en la que no
tengan permisos, y otro entorno de desarrollo que es al que se conectan y
puedan hacer lo que necesiten con más permisos (evidentmeente ambos
entornos están "separados" para que no interfieran en uno u otro); lo
malo de esto es que generalmente requiere más inversión para llevarlo a
cabo, pero tienes más seguridad y estabilidad a cambio
Salu2!!
Javier Inglés
https://mvp.support.microsoft.com/p...B5567431B0
MS MVP, Windows Server-Directory Services




"Luis Falch Rojas" escribió en el mensaje
news:e5jnmj0%
Hola a todos..
Vamos a implementar una instalacion en limpio de un dominio,
aproximadamente
50 usuarios.
Casi todos los equipos son XP. solo un 10 % es Vista
El 90 % de los usuarios son avanzados (desarrolladores/programadores,
etc,
etc), y necesitan si o si ser miembros del grupo local de
administradores.
Alguien puede darme algunas sugerencias/buenas practicas a realizar o en
cuanto a donde consigo info
acerca de procedimientos para:
- Los usuarios no deben modificar la configuración IP de sus PCs.
- Los usuarios no deben modificar iniciar/detener/pausar servicios.
- En lo posible modificaciones del registro que involucren
red/seguridad/servicios/cuentas de usuarios no podrian realizar
- Cualquier otra sugerencia.

La idea es otorgarle derechos locales a los usuarios sobre sus
respectivos equipos, sin que ellos puedan bloquear anular o modificar
cuestiones que imposibiliten al System Admin de realizar tareas en sus
respectivas PC's...

de antemano gracias por las sugerencias...

Luis F.












email Siga el debate Respuesta Responder a este mensaje
Ads by Google
Help Hacer una preguntaRespuesta Tengo una respuesta
Search Busqueda sugerida