10/01/2006, 06:01
| |||
| |||
 Denegar acceso al servidor a los usuarios del dominio Saludos amigos. En un entorno Win2KServer / Win2KPro tengo interés en denegar la conexión al servidor de todos los usuarios del dominio (incluidos los administradores del dominio), y permitir sólo la conexión al servidor en modo local del administrador de dicha máquina (el servidor, claro). Me podéis orientar sobre el modo en que puedo hacerlo? Porque he buscado y no encuentro una directiva que me lo permita. Gracias por su ayuda. |
|
10/01/2006, 06:40
| ||||
| ||||
| hola eso podras indicarlo en la administracion de usuarios del active directory, dentro de cada usuario indicandole en el apartado "cuenta" , "horas de inicio de sesion" ahi indica las horas que pueden acceder o no.. saludos
__________________ SNELHYD |
|
10/01/2006, 06:45
| |||
| |||
| Vale Pero eso impediría que ellos se conectaran desde sus máquinas al servidor de dominio para acceder a los recursos que en éste están. No es eso lo que quiero, lo que pretendo es que ellos puedan conectarse y trabajar normalmente, logueados al dominio... pero que físicamente en el equipo que funciona como servidor no se pueda loguear ningún usuario del dominio (ni aún siendo administrador), y que sólo se pueda abrir una cesión en el servidor con la cuenta de administrador local de dicha máquina. Salu2 |
|
10/01/2006, 09:49
| ||||
| ||||
| Muy buenas: Para capar los equipos y limitar los inicios de sesión local de una máquina se debe hacer através de la directiva de seguridad local del equipo. Para entrar en ella hay que ir a Panel de control - Herramientas Administrativas y elegir "directiva de seguridad local". Dentro de ella hay una categoria que es: Configuración de seguridad - Directivas locales - asignacion de derechos de usuario y dentro de esa categoria la directiva que tu buscabas "Denegar el inicio de sesion localmente". Aqui es donde indicaremos las cuentas o grupos de usuarios que no pueden iniciar la sesion localmente, pero no impide que sigan accediendo a nuestros recursos compartidos. Lo que no estoy 100% seguro es que en el caso que se trate de un servidor que hace de controlador de dominio, la directiva de seguridad local no funciona y hay que hacerlo através de la directiva de seguridad del controlador de dominio, pero como te dijo no estoy 100% seguro. Haber si Tania o algún otro experto en servidores puede confirmar o corregir esto último. Un saludo.
__________________ Me encantaría poder cambiar el mundo, pero es que no me dan el código fuente ** SIGO OFFLINE, PERO PRONTO REGRESO DE NUEVO, COSAS DEL TRABAJO ;D ** |
|
12/01/2006, 08:26
| ||||
| ||||
| como dice Marto es la politica local, obviamente un account a nivel de dominio puede entrar, en este caso el mismo administrator tiene este privilegio, pero no asi los usuarios normales. ademas si entran de manera local al server siendo que no tienen derechos administrativos no pueden ver nada y si las carpetas con recursos estan bien configuradas a nivel de NTFS tampoco pueden entrar si no tienen derechos. saludos
__________________ Evitemos abrir post con títulos "Ayuda..." "Urgente..." le quitan valor a nuestro motor de búsqueda y por otra parte, escribe de manera correcta , quien te lea y quiere ayudarte, no pierde tiempo al descifrar lo que escribiste. |
|
12/01/2006, 09:57
| |||
| |||
| Gracias Gracias por la ayuda de ambos. Comento lo que he hecho. En el servidor he denegado el acceso a todos los usuarios del dominio (administradores y no administadores), pero no en las directivas locales, sino en las del dominio (que tienen prioridad sobre aquellas), tan solo he dejado una cuenta con privilegio de conectarse localmente, la de administrador local de la máquina. Lo hago por motivos de seguridad, ya que no tengo en este servidor conexiones remotas de ningún tipo; aunque si hay recursos compartidos a los que acceden los usuarios, porque es un servidor de aplicaciones. Y se hace con el fin de que ningún usuario del dominio pueda sentarse físicamente en él y abrir una sesión. Hasta ahora ha funcionado. Muchas gracias a ambos |
|
12/01/2006, 10:04
| |||
| |||
| Y bueno, obviamente, denegar el acceso a los usuarios que no son administradores, no es nada complicado. Tal y como dice Marta, mediante permisos NTFS. Denegar el acceso a las cuentas de administradores ya es algo más extraño (por decirlo asi), podría cuestionarse la categoría de "administrador" en ese caso, pero por razones internas de la empresa, conviene dejar solo una cuenta para acceso local al servidor de aplicaciones. Gracias de nuevo. |
|
13/01/2006, 06:13
| ||||
| ||||
| Me alegro que se solucionara Jorevale, ya sabes donde estamos la proxima vez. Ahh y muchas gracias Tania por echar un vistazo al post.
__________________ Me encantaría poder cambiar el mundo, pero es que no me dan el código fuente ** SIGO OFFLINE, PERO PRONTO REGRESO DE NUEVO, COSAS DEL TRABAJO ;D ** |
