Restringir inicio de sesión sólo a determinados grupos

26/03/2010 - 11:54 por Llorenç | Informe spam
Quizás esta pregunta deba hacerse en los foros de xp y/o 7, pero pienso que
es un tema de red, así que la planteo aquí.
Administro una red con windows 2003 server dedicado y terminales xp (ahora
ya con algun windows 7) profesional. ¿Hay alguna directiva de red o local que
me permita restringir el acceso a un terminal concreto sólo a miembros de un
grupo o grupos?
El problema que tengo es que hay algunos ordenadores que sólo deberían ser
usados por miembros de un solo grupo del dominio y están en una ubicación en
la que acceden otros miembros. Para ello me gustaría restringir el inicio de
sesión de estos ordenadores a sólo un par de grupos. ¿Es posible aplicar
alguna directiva en este sentido? ¿Cómo?

Preguntas similare

Leer las respuestas

#1 Guillermo Delprato [MS-MVP]
26/03/2010 - 12:26 | Informe spam
Si, lo puedes hacer por GPO
Primero revisa en la local GPO (GPEDIT.MSC) en User Rights, qué grupos
tienen asignado el derecho de Log On Locally, que es el que permite inicio
de sesión desde teclado.

Luego separa al servidor en una OU específica y aplícale una GPO de dominio
poniendo los mismos grupos de usuarios pero adaptados a lo que necesitas.
Trata de no usar Denegar, porque eso prevalece sobre todos los Permitir.
Mantén además los grupos del sistema que estuvieran presentes


Guillermo Delprato
MVP - MCT - MCITP - MCTS - MCSE
Buenos Aires, Argentina
http://w2k8-server.spaces.live.com

Este mensaje se proporciona "como está" sin garantías de ninguna clase, ni
otorga ningún derecho. Ud. asume los riesgos.
This posting is provide "as is" with no warranties and confers no rights.
You assume all risk for your use.
_____________________



"Llorenç" wrote in message
news:
Quizás esta pregunta deba hacerse en los foros de xp y/o 7, pero pienso
que
es un tema de red, así que la planteo aquí.
Administro una red con windows 2003 server dedicado y terminales xp (ahora
ya con algun windows 7) profesional. ¿Hay alguna directiva de red o local
que
me permita restringir el acceso a un terminal concreto sólo a miembros de
un
grupo o grupos?
El problema que tengo es que hay algunos ordenadores que sólo deberían ser
usados por miembros de un solo grupo del dominio y están en una ubicación
en
la que acceden otros miembros. Para ello me gustaría restringir el inicio
de
sesión de estos ordenadores a sólo un par de grupos. ¿Es posible aplicar
alguna directiva en este sentido? ¿Cómo?
Respuesta Responder a este mensaje
#2 Llorenç
31/03/2010 - 08:52 | Informe spam
Gracias por la respuesta, pero ¿podrías ser un poco más explícito?. No suelo
tocar las políticas de grupo, así que voy un poco despistado en esto. He
estado mirando y buscando y he llegado a encontrar la "Asignación de derechos
de usuario" de la máquina local (no en el servidor), aunque no mediante
gpedit.msc (ahí no lo he visto) sino mediante panel de control - Herramientas
del sistema - Directiva de seguridad local - Directivas locales - Asignación
de derechos de usuario. He encontrado quienes inician sesión local pero ya en
lo referente a crear una unidad organizativa (OU) y una política de grupo
(GPO) ya no sé cómo hacerlo. Mi idea seria crear un grupo de equipos
específico para profesores y el resto para alumnos. En el de los profesores,
que sólo puedan validarse los miembros del grupo de profesores y no los
alumnos, pero para eso necesito más ayuda. Si lo pudieras detallar (al menos
los pasos principales) te lo agradecería.
De todas formas, gracias por tu ayuda.

"Guillermo Delprato [MS-MVP]" wrote:

Si, lo puedes hacer por GPO
Primero revisa en la local GPO (GPEDIT.MSC) en User Rights, qué grupos
tienen asignado el derecho de Log On Locally, que es el que permite inicio
de sesión desde teclado.

Luego separa al servidor en una OU específica y aplícale una GPO de dominio
poniendo los mismos grupos de usuarios pero adaptados a lo que necesitas.
Trata de no usar Denegar, porque eso prevalece sobre todos los Permitir.
Mantén además los grupos del sistema que estuvieran presentes


Guillermo Delprato
MVP - MCT - MCITP - MCTS - MCSE
Buenos Aires, Argentina
http://w2k8-server.spaces.live.com

Este mensaje se proporciona "como está" sin garantías de ninguna clase, ni
otorga ningún derecho. Ud. asume los riesgos.
This posting is provide "as is" with no warranties and confers no rights.
You assume all risk for your use.
_____________________



"Llorenç" wrote in message
news:
> Quizás esta pregunta deba hacerse en los foros de xp y/o 7, pero pienso
> que
> es un tema de red, así que la planteo aquí.
> Administro una red con windows 2003 server dedicado y terminales xp (ahora
> ya con algun windows 7) profesional. ¿Hay alguna directiva de red o local
> que
> me permita restringir el acceso a un terminal concreto sólo a miembros de
> un
> grupo o grupos?
> El problema que tengo es que hay algunos ordenadores que sólo deberían ser
> usados por miembros de un solo grupo del dominio y están en una ubicación
> en
> la que acceden otros miembros. Para ello me gustaría restringir el inicio
> de
> sesión de estos ordenadores a sólo un par de grupos. ¿Es posible aplicar
> alguna directiva en este sentido? ¿Cómo?

.

Respuesta Responder a este mensaje
#3 Guillermo Delprato [MS-MVP]
31/03/2010 - 14:09 | Informe spam
Es que no hay forma que administres un dominio si no manejas el tema de
directivas de grupo
Acá tienes una nota como para comenzar a ver el tema
Cómo funcionan las Directivas de Grupo (Group Policy Objects – GPOs)
http://w2k8-server.spaces.live.com/blog/cns!ACD63A60B4BAF014!430.entry



Guillermo Delprato
MVP - MCT - MCITP - MCTS - MCSE
Buenos Aires, Argentina
http://w2k8-server.spaces.live.com

Este mensaje se proporciona "como está" sin garantías de ninguna clase, ni
otorga ningún derecho. Ud. asume los riesgos.
This posting is provide "as is" with no warranties and confers no rights.
You assume all risk for your use.
_____________________



"Llorenç" wrote in message
news:
Gracias por la respuesta, pero ¿podrías ser un poco más explícito?. No
suelo
tocar las políticas de grupo, así que voy un poco despistado en esto. He
estado mirando y buscando y he llegado a encontrar la "Asignación de
derechos
de usuario" de la máquina local (no en el servidor), aunque no mediante
gpedit.msc (ahí no lo he visto) sino mediante panel de control -
Herramientas
del sistema - Directiva de seguridad local - Directivas locales -
Asignación
de derechos de usuario. He encontrado quienes inician sesión local pero ya
en
lo referente a crear una unidad organizativa (OU) y una política de grupo
(GPO) ya no sé cómo hacerlo. Mi idea seria crear un grupo de equipos
específico para profesores y el resto para alumnos. En el de los
profesores,
que sólo puedan validarse los miembros del grupo de profesores y no los
alumnos, pero para eso necesito más ayuda. Si lo pudieras detallar (al
menos
los pasos principales) te lo agradecería.
De todas formas, gracias por tu ayuda.

"Guillermo Delprato [MS-MVP]" wrote:

Si, lo puedes hacer por GPO
Primero revisa en la local GPO (GPEDIT.MSC) en User Rights, qué grupos
tienen asignado el derecho de Log On Locally, que es el que permite
inicio
de sesión desde teclado.

Luego separa al servidor en una OU específica y aplícale una GPO de
dominio
poniendo los mismos grupos de usuarios pero adaptados a lo que necesitas.
Trata de no usar Denegar, porque eso prevalece sobre todos los Permitir.
Mantén además los grupos del sistema que estuvieran presentes


Guillermo Delprato
MVP - MCT - MCITP - MCTS - MCSE
Buenos Aires, Argentina
http://w2k8-server.spaces.live.com

Este mensaje se proporciona "como está" sin garantías de ninguna clase,
ni
otorga ningún derecho. Ud. asume los riesgos.
This posting is provide "as is" with no warranties and confers no rights.
You assume all risk for your use.
_____________________



"Llorenç" wrote in message
news:
> Quizás esta pregunta deba hacerse en los foros de xp y/o 7, pero pienso
> que
> es un tema de red, así que la planteo aquí.
> Administro una red con windows 2003 server dedicado y terminales xp
> (ahora
> ya con algun windows 7) profesional. ¿Hay alguna directiva de red o
> local
> que
> me permita restringir el acceso a un terminal concreto sólo a miembros
> de
> un
> grupo o grupos?
> El problema que tengo es que hay algunos ordenadores que sólo deberían
> ser
> usados por miembros de un solo grupo del dominio y están en una
> ubicación
> en
> la que acceden otros miembros. Para ello me gustaría restringir el
> inicio
> de
> sesión de estos ordenadores a sólo un par de grupos. ¿Es posible
> aplicar
> alguna directiva en este sentido? ¿Cómo?

.

email Siga el debate Respuesta Responder a este mensaje
Ads by Google
Help Hacer una preguntaRespuesta Tengo una respuesta
Search Busqueda sugerida