restricciones para local admins

Si son administradores locales lo más que podrás hacer es intentar "paliar"
la situación configurando las GPO que necesites a nivel dedominio u OU para
restringirles accesos a donde consideres que no deben acceder.

Evidentemente, podrán acceder localmente al equipo y modificar todo lo que
les venga en gana, por lo que en esos casos GPOs que pueden ser
interesantes:

Description of Group Policy Restricted Groups

http://support.microsoft.com/defaul...-us;279301



HOW TO: Use Restricted Groups in Windows 2000

http://support.microsoft.com/defaul...-us;228496

HOW TO: Restrict Group Membership By Using Group Policy in Windows 2000

http://support.microsoft.com/defaul...-us;320045

Lista de dominios/Domain List - How to restrict use of a computer to one
domain user only

http://support.microsoft.com/kb/555317/en-us



How to change default logon domain name in the logon screen

http://support.microsoft.com/kb/555050/en-us



How can I hide the drop-down list of domains that appears on the logon
screen of Windows XP and later machines?

http://www.windowsitpro.com/Article....html?Ad=1



How can I use Group Policy to hide the domain drop down list on the Windows
Logon dialog box?

http://www.windowsitpro.com/Article...93256.html



Otra posibilidad es que tengas un entorno de producción en la que no tengan
permisos, y otro entorno de desarrollo que es al que se conectan y puedan
hacer lo que necesiten con más permisos (evidentmeente ambos entornos están
"separados" para que no interfieran en uno u otro); lo malo de esto es que
generalmente requiere más inversión para llevarlo a cabo, pero tienes más
seguridad y estabilidad a cambio
Salu2!!
Javier Inglés
https://mvp.support.microsoft.com/p...B5567431B0
MS MVP, Windows Server-Directory Services




"Luis Falch Rojas" escribió en el mensaje
news:e5jnmj0%
Mostrar la cita

Hola a todos..
Vamos a implementar una instalacion en limpio de un dominio,
aproximadamente
50 usuarios.
Casi todos los equipos son XP. solo un 10 % es Vista
El 90 % de los usuarios son avanzados (desarrolladores/programadores, etc,
etc), y necesitan si o si ser miembros del grupo local de administradores.
Alguien puede darme algunas sugerencias/buenas practicas a realizar o en
cuanto a donde consigo info
acerca de procedimientos para:
- Los usuarios no deben modificar la configuración IP de sus PCs.
- Los usuarios no deben modificar iniciar/detener/pausar servicios.
- En lo posible modificaciones del registro que involucren
red/seguridad/servicios/cuentas de usuarios no podrian realizar
- Cualquier otra sugerencia.

La idea es otorgarle derechos locales a los usuarios sobre sus respectivos
equipos, sin que ellos puedan bloquear anular o modificar cuestiones que
imposibiliten al System Admin de realizar tareas en sus respectivas
PC's...

de antemano gracias por las sugerencias...

Luis F.

Mil gracias Javier

Lo pondré en práctica..

Si es encesario que sean Administradores locales, ya que he visto mil y una
forma de que desarrollen / programen sin estos permisos locales, pero
siempre tropiezo con algo, y es mas problematico para mi andar buscando
soluciones parciales, mientras que al ser administradores locales en sus
pcs, trabajan sin problema alguno; ya el problema surge porque como todos
saben, siempre hay uno o dos que quieren hacer lo que les de la gana, y a
veces interfieren mis tareas administrativas(soporte remoto, modificaciones
al registro remotamente, revision de visores de eventos, despliegue de
parches y updates, antivirus, etc, etc, etc).

gracias de nuevo y saludos...

Luis Falch

"Javier Inglés [MS MVP]" wrote in message
news:uP56Dc7%
Mostrar la cita

Si son administradores locales lo más que podrás hacer es intentar
"paliar" la situación configurando las GPO que necesites a nivel dedominio
u OU para restringirles accesos a donde consideres que no deben acceder.

Evidentemente, podrán acceder localmente al equipo y modificar todo lo que
les venga en gana, por lo que en esos casos GPOs que pueden ser
interesantes:

Description of Group Policy Restricted Groups

http://support.microsoft.com/defaul...-us;279301



HOW TO: Use Restricted Groups in Windows 2000

http://support.microsoft.com/defaul...-us;228496

HOW TO: Restrict Group Membership By Using Group Policy in Windows 2000

http://support.microsoft.com/defaul...-us;320045

Lista de dominios/Domain List - How to restrict use of a computer to one
domain user only

http://support.microsoft.com/kb/555317/en-us



How to change default logon domain name in the logon screen

http://support.microsoft.com/kb/555050/en-us



How can I hide the drop-down list of domains that appears on the logon
screen of Windows XP and later machines?

http://www.windowsitpro.com/Article....html?Ad=1



How can I use Group Policy to hide the domain drop down list on the
Windows Logon dialog box?

http://www.windowsitpro.com/Article...93256.html



Otra posibilidad es que tengas un entorno de producción en la que no
tengan permisos, y otro entorno de desarrollo que es al que se conectan y
puedan hacer lo que necesiten con más permisos (evidentmeente ambos
entornos están "separados" para que no interfieran en uno u otro); lo malo
de esto es que generalmente requiere más inversión para llevarlo a cabo,
pero tienes más seguridad y estabilidad a cambio
Salu2!!
Javier Inglés
https://mvp.support.microsoft.com/p...B5567431B0
MS MVP, Windows Server-Directory Services




"Luis Falch Rojas" escribió en el mensaje
news:e5jnmj0%
Mostrar la cita

Hola a todos..
Vamos a implementar una instalacion en limpio de un dominio,
aproximadamente
50 usuarios.
Casi todos los equipos son XP. solo un 10 % es Vista
El 90 % de los usuarios son avanzados (desarrolladores/programadores,
etc,
etc), y necesitan si o si ser miembros del grupo local de
administradores.
Alguien puede darme algunas sugerencias/buenas practicas a realizar o en
cuanto a donde consigo info
acerca de procedimientos para:
- Los usuarios no deben modificar la configuración IP de sus PCs.
- Los usuarios no deben modificar iniciar/detener/pausar servicios.
- En lo posible modificaciones del registro que involucren
red/seguridad/servicios/cuentas de usuarios no podrian realizar
- Cualquier otra sugerencia.

La idea es otorgarle derechos locales a los usuarios sobre sus
respectivos equipos, sin que ellos puedan bloquear anular o modificar
cuestiones que imposibiliten al System Admin de realizar tareas en sus
respectivas PC's...

de antemano gracias por las sugerencias...

Luis F.

Sí socio, es una guerra que creo que pasamos todos alguna vez ;-))

Salu2!!
Javier Inglés
https://mvp.support.microsoft.com/p...B5567431B0
MS MVP, Windows Server-Directory Services



"Luis Falch Rojas" escribió en el mensaje
news:ujWMWy9%
Mostrar la cita

Mil gracias Javier

Lo pondré en práctica..

Si es encesario que sean Administradores locales, ya que he visto mil y
una forma de que desarrollen / programen sin estos permisos locales, pero
siempre tropiezo con algo, y es mas problematico para mi andar buscando
soluciones parciales, mientras que al ser administradores locales en sus
pcs, trabajan sin problema alguno; ya el problema surge porque como todos
saben, siempre hay uno o dos que quieren hacer lo que les de la gana, y a
veces interfieren mis tareas administrativas(soporte remoto,
modificaciones al registro remotamente, revision de visores de eventos,
despliegue de parches y updates, antivirus, etc, etc, etc).

gracias de nuevo y saludos...

Luis Falch

"Javier Inglés [MS MVP]" wrote in message
news:uP56Dc7%
Mostrar la cita

Si son administradores locales lo más que podrás hacer es intentar
"paliar" la situación configurando las GPO que necesites a nivel
dedominio u OU para restringirles accesos a donde consideres que no deben
acceder.

Evidentemente, podrán acceder localmente al equipo y modificar todo lo
que les venga en gana, por lo que en esos casos GPOs que pueden ser
interesantes:

Description of Group Policy Restricted Groups

http://support.microsoft.com/defaul...-us;279301



HOW TO: Use Restricted Groups in Windows 2000

http://support.microsoft.com/defaul...-us;228496

HOW TO: Restrict Group Membership By Using Group Policy in Windows 2000

http://support.microsoft.com/defaul...-us;320045

Lista de dominios/Domain List - How to restrict use of a computer to one
domain user only

http://support.microsoft.com/kb/555317/en-us



How to change default logon domain name in the logon screen

http://support.microsoft.com/kb/555050/en-us



How can I hide the drop-down list of domains that appears on the logon
screen of Windows XP and later machines?

http://www.windowsitpro.com/Article....html?Ad=1



How can I use Group Policy to hide the domain drop down list on the
Windows Logon dialog box?

http://www.windowsitpro.com/Article...93256.html



Otra posibilidad es que tengas un entorno de producción en la que no
tengan permisos, y otro entorno de desarrollo que es al que se conectan y
puedan hacer lo que necesiten con más permisos (evidentmeente ambos
entornos están "separados" para que no interfieran en uno u otro); lo
malo de esto es que generalmente requiere más inversión para llevarlo a
cabo, pero tienes más seguridad y estabilidad a cambio
Salu2!!
Javier Inglés
https://mvp.support.microsoft.com/p...B5567431B0
MS MVP, Windows Server-Directory Services




"Luis Falch Rojas" escribió en el mensaje
news:e5jnmj0%
Mostrar la cita

Hola a todos..
Vamos a implementar una instalacion en limpio de un dominio,
aproximadamente
50 usuarios.
Casi todos los equipos son XP. solo un 10 % es Vista
El 90 % de los usuarios son avanzados (desarrolladores/programadores,
etc,
etc), y necesitan si o si ser miembros del grupo local de
administradores.
Alguien puede darme algunas sugerencias/buenas practicas a realizar o en
cuanto a donde consigo info
acerca de procedimientos para:
- Los usuarios no deben modificar la configuración IP de sus PCs.
- Los usuarios no deben modificar iniciar/detener/pausar servicios.
- En lo posible modificaciones del registro que involucren
red/seguridad/servicios/cuentas de usuarios no podrian realizar
- Cualquier otra sugerencia.

La idea es otorgarle derechos locales a los usuarios sobre sus
respectivos equipos, sin que ellos puedan bloquear anular o modificar
cuestiones que imposibiliten al System Admin de realizar tareas en sus
respectivas PC's...

de antemano gracias por las sugerencias...

Luis F.