Consejo en Active Directory

Hola que tal;

Soy nuevo en el Active Directory pero, tengo una necesidad urgente o saber si se puede.

Tengo un Active Directory en Windows server 2003, y quiero encontrar alguna directiva de seguridad para lo siguiente:

Tengo una aplicacion (IPCom) y esta direccionado a la unidad C: a una carpeta donde se guardan mis grabaciones, una vez que lo mapeo o lo direcciono por ejemplo: C:\carpeta_con_grabacion lo cierro y lo abro y ya me guarda dicha carpeta y alli se depositan las grabaciones que hago, pero si llega cualquier usuario y pone :
C:\grabaciones_2, abre y cierra el IPCom lo guarda y para acceder trae un boton y abre la carpeta contenedora de mis grabaciones y asi con cualquier ruta.

Con tanta explicacion quiero llegar al tema de.. si es posible con el active directory restringir todo eso, aunque cambien el nombre de la ruta y le den clic al boton no ábra esa carpeta o se direccion a la original "carpeta_con_grabacion" ya que, no quiero que nadie mueva grabaciones a la hora de que las depositan alli.

Me suena a que lo que tienes que restringir es el acceso al ipcom, ese...

No parece estar integrado con AD, ni traer seguridad incorporada protegido por contraseñas. Si cualquiera que lo ejecute puede alterar parámetros de configuración, deberás evitar que cualquiera lo ejecute... Obviamente.

Para ello basta con que marques el ejecutable con permisos sólo para administrador o para un grupo restringido de gente (que no vaya a estar tocando nada), y que la carpeta de destino tenga permiso de acceso sólo al mismo administrador o grupo.

No veo como el AD podría ayudarte con un programa que se ejecuta como administrador y al que todo dios tiene acceso sin contraseña...

Creo que podrias solucionarlo con darle derechos especificos sobre la carpeta.

Si estas compartiendo esta carpeta desde tu servidor "de archivos" pues le das clic derecho sobre la carpeta, propiedades y en la pestana de compartir puedes soleccionar el usuario o grupo que pueda tener acceso a esta.

O si la carpeta esta en el equipo local pues puedes hacer lo mismo pero en la pestania de seguridad, aunque si las personas utilizan el mismo usuario pues tendras el mismo problema y si son administradores locales de estas pues tambien pudieran adjudicarse la propiedad de esta y tener acceso.

Como comenta el companiero tambien podrias crear una politica en tu servidor de active directory, en el editor de politicas, si no lo ves le das clic derecho sobre el nombre de tu dominio, en el Active Directory, luego en propiedades y luego en la pestania de politicas, creo que asi se llama, y ahi veras la "default domain policy", ahora solo le das al boton de agregar nueva politica y te expandes la seccion de configuracion de equipo - configuracion de windows - configuracion de seguridad - directivas de restriccion de software y ahi puedes crear una nueva regla de denegar una aplicacion por nombre o hash. Finalmente cierras la ventana y si no mal recuerdo hay un boton de propiedades en la ventana anterior donde eliges a quien aplicara esta politica, ahi metes el nombre del usuario o un grupo distintivo al que perteneza, y la proxima vez que inicie sesion el usuario restringido se le aplicara la politica.

Finalmente te comento que tambien si tuvieras la necesidad de que dos usuarios juan y pedro digamos del grupo recursos humanos se les mapeara una carpeta del servidor y que tuvieran acceso pero que cada quien tuviera carpetas separadas, dentro de la unidad, y que solo puedieran acceder cada quien a su carpeta o que juan, que digamos es el jefe, pudiera acceder a la de pedro y no al revez, tambien se puede jugando con los permisos en la pestania de seguridad y deshabilitando la herencia de permisos de la carpeta raiz.

Pero todo esto teniendo usuarios con permisos separados, me refieron que si es un equipo de uso "comun" y todos se loguen con la cuenta "recursoshumanos", pues ahi si tendrias que crearles usuarios separados.

Espero te sirva mi comentario de algo, bye