Como restringir el uso de un equipo solo a usuario de un dominio {HOWTO}

BlockedUser Hoy veremos como hacer para evitar que un usuario se logee a un dominio diferente a su dominio predeterminado (a donde pertenece su cuenta).

Básicamente cuando tenemos una conexión de confianza entre dominios o entre forest, los usuarios pueden logearse a los distintos dominios disponibles.

El grupo “usuarios autenticados” de cada equipo le permite a los usuarios de un dominio de confianza, logearse a un equipo y autenticarse.

Para impedir esto tenemos varias opciones:

Via Group Policy

Por medio de nuestro dominio, podemos crear una política que aplique a un determinado usuario. Generamos una nueva política en el Group Policy Management Console en nuestro servidor de dominio destino y habilitamos la entrada "Deny logon locally" para el dominio principal; y luego actualizamos las políticas por medio del comando gpupdate /force.

Tengamos en cuenta que en algunos caso hacer esto puede traer inconvenientes con distintos software de backup.

GroupPolicy

La explicación de esta entrada:

ExplicacionDenyLogOnLocally

Remover "NT AUTHORITY\Authenticated Users"

Para eliminar este grupo debemos hacer lo siguiente:

1. Hacemos un clic con el botón derecho sobre "Mi  Computadora" y seleccionamos “Administrar

2. Expandimos “Usuarios Locales y Grupos”, seleccionamos “Grupos”.

3. Seleccionamos “Usuarios” y eliminamos "NTAUTHORITY\Authenticated Users"; luego agregamos el o los usuarios o grupos el grupo local “Usuarios”.

RemoveGroup

Configurar "Deny logon locally" en la política local de la computadora

También podemos hacerlo modificando la política local de la computadora, para esto ejecutamos el comando "Gpedit.msc" y habilitamos la entrada "Deny logon locally" de la misma manera que lo vimos en el primer punto en que modificábamos la política de dominio. Una vez hecho esto debemos ejecutar el comando "Gpupdate /force" para refrescar las políticas que se aplican.

Otra opción para esto seria utilizando la autenticación selectiva cuando utilizamos una relación de confianza en un Forest, para esto les dejo el link con la información.

Espero que les sea de utilidad. Saludos, Roberto Di Lello.

Mas info:

Roberto Di Lello

Acerca del autor: Roberto Di Lello

Hola, soy Roberto Di Lello trabajo como Consultor Senior en Infraestructura, especializado en Tecnologias Microsoft con mas de 25 años en la industria. He sido galardonado como MS-MVP en Active Directory-Enterprise Mobility por 10 años, y actualmente soy MVP Windows Insider, ademas de poseer otras certificaciones de Microsoft. He trabajado en distintos projectos que involucran Migraciones, Implementaciones, y soporte de Active Directory y Microsoft Exchange, y en los ultimos años me he desempeñado armando equipos de trabajo para diferentes paises y areas de sistemas, he planificado a distintas migraciones a datacenters (ambiente cloud y mixtos). He tenido la oportunidad de participar como miembro del staff de Microsoft en eventos internacionales como ser TechEd NorteAmerica y MS Ignite (NA) al ser Trainer Certificado por Microsoft (MCT).

You May Also Like

2 Comments

  1. desde que se instalo server 2008 Enterprise x64, se crearon cerca de 25 usuarios, tenemos nodos lógicos con cableado categoría 6, de los cuales solo dos viajan a 1000 MHz y los otros nodos lógicos a 10/100 Mbps. en este proceso se definió el dominio culturameta (www.culturameta.gov.co)

    nos sobran unos puntos lógicos (RJ45), LLEGAN A NUESTRAS OFICINAS MUCHOS USUARIOS Y SE CONECTAN CON CABLEADO RJ45 (PASH CORD), NO SE COMO EVITAR QUE SE LOGEN Y USE EL INTERNET QUE TENEMOS EN ESOS PUNTOS..

    un abrazo desde colombia

  2. Javier Guillero Herrera Villarraga, disculpa mi demora en contestar pero estuve muy complicado con varios temas de trabajo, con el cambio de empresa he estado muy tapado de trabajo, pero voy respondiendo de a poco a medida que puedo y voy a responder todas las consultas.

    Respecto a tu pregunta, hay varias recomendaciones para hacer. Lo primero seria no dejar bocas de red conectadas a los switches si no hay nadie utilizandola. Es decir, tener solo conectadas las bocas de red que estan asignadas a los usuarios fijos; con esto evitas que cualquiera que tenga un cable de red se pueda conectar. Despues lo que podes tener para segurizar tu red, es poner un proxy y que nadie pueda navegar si no esta autenticado, pero si haces esto le limitaras el acceso a interner pero tenes un problema con la seguridad porque estaria obteniendo una IP de tu red. Lo otro que podrias configurar es NAP (Network Access Protection) asi ninguna maquina obtendria IP de tu red si no cumple con ciertos requisitos.

    Espero que esto conteste tu pregunta, cualquier cosa volve a escribirme. Aprovecho la oportunidad para agradecerte por participar del blog y ayudar a que siga creciendo! Te pido que difundas la direccion del sitio y mi twitter @RaDiansBlog, asi sumamos mas gente. Te invito a que veas los labs, videos, tutoriales, notas. Si querés buscar un tema o necesitas ayuda, tenés la solapa AYUDA donde explico un poco como hacerlo, sino también tenés el buscador de google.

    En 2014 debido a nuevas disposiciones de la ley Argentina debo afrontar distintos gastos para mantener el blog en funcionamiento. Si te parecio util la informacion del blog hace click en el boton “DONATE”

    Seguimos en contacto! Saludos y gracias!

Comments are closed.