REVIEW: Como restringir el uso de un equipo solo a usuario de un dominio {HOWTO}

BlockedUser Hoy veremos como hacer para evitar que un usuario se logee a un dominio diferente a su dominio predeterminado (a donde pertenece su cuenta).

Básicamente cuando tenemos una conexión de confianza entre dominios o entre forest, los usuarios pueden logearse a los distintos dominios disponibles.

El grupo “usuarios autenticados” de cada equipo le permite a los usuarios de un dominio de confianza, logearse a un equipo y autenticarse.

Para impedir esto tenemos varias opciones:

Via Group Policy

Por medio de nuestro dominio, podemos crear una política que aplique a un determinado usuario. Generamos una nueva política en el Group Policy Management Console en nuestro servidor de dominio destino y habilitamos la entrada "Deny logon locally" para el dominio principal; y luego actualizamos las políticas por medio del comando gpupdate /force.

Tengamos en cuenta que en algunos caso hacer esto puede traer inconvenientes con distintos software de backup.

GroupPolicy

La explicación de esta entrada:

ExplicacionDenyLogOnLocally

Remover "NT AUTHORITY\Authenticated Users"

Para eliminar este grupo debemos hacer lo siguiente:

1. Hacemos un clic con el botón derecho sobre "Mi  Computadora" y seleccionamos “Administrar

2. Expandimos “Usuarios Locales y Grupos”, seleccionamos “Grupos”.

3. Seleccionamos “Usuarios” y eliminamos "NTAUTHORITY\Authenticated Users"; luego agregamos el o los usuarios o grupos el grupo local “Usuarios”.

RemoveGroup

Configurar "Deny logon locally" en la política local de la computadora

También podemos hacerlo modificando la política local de la computadora, para esto ejecutamos el comando "Gpedit.msc" y habilitamos la entrada "Deny logon locally" de la misma manera que lo vimos en el primer punto en que modificábamos la política de dominio. Una vez hecho esto debemos ejecutar el comando "Gpupdate /force" para refrescar las políticas que se aplican.

Otra opción para esto seria utilizando la autenticación selectiva cuando utilizamos una relación de confianza en un Forest, para esto les dejo el link con la información.

Espero que les sea de utilidad. Saludos, Roberto Di Lello.

Mas info:

Roberto Di Lello

Acerca del autor: Roberto Di Lello

Hola, soy Roberto Di Lello trabajo como Consultor Senior en Infraestructura, especializado en Tecnologias Microsoft con mas de 25 años en la industria. He sido galardonado como MS-MVP en Active Directory-Enterprise Mobility por 10 años, y actualmente soy MVP Windows Insider, ademas de poseer otras certificaciones de Microsoft. He trabajado en distintos projectos que involucran Migraciones, Implementaciones, y soporte de Active Directory y Microsoft Exchange, y en los ultimos años me he desempeñado armando equipos de trabajo para diferentes paises y areas de sistemas, he planificado a distintas migraciones a datacenters (ambiente cloud y mixtos). He tenido la oportunidad de participar como miembro del staff de Microsoft en eventos internacionales como ser TechEd NorteAmerica y MS Ignite (NA) al ser Trainer Certificado por Microsoft (MCT).

You May Also Like

2 Comments

  1. Hola, buenas tardes.
    Tengo un problema y espero me puedas explicar como puedo hacer para resolverlo.
    Lo que sucede es que tengo 1 servidor con Active Directory y eh unido a él varios servidores (“servidor web”,”servidor de base de datos”,”servidor de archivos”, etc). Lo que quisiera saber es como puedo impedir que los usuarios creados en mi AD puedan iniciar sesión en los servidores, ya que tan sólo puede ingresar a mi servidor los administradores y no los usuarios.
    Espero me puedas ayudar.

  2. Alan R., disculpa mi demora en contestar pero estuve muy complicado con varios temas de trabajo, con el cambio de empresa he estado muy tapado de trabajo, pero voy respondiendo de a poco a medida que puedo y voy a responder todas las consultas.

    Si mal no recuerdo por defecto los usuarios domain users no pueden logearse en los servidores. Estoy seguro que si no pueden hacerlo sobre los DC, lo podes verificar. Ahora si por alguna razon pueden, lo que odes hacer es crear un grupo o usar el domain user y modificar la politica.

    You need to configure the security setting in Default Domain Controller Policy GPO:
    1. On the Windows Server 2008 domain controller, click Start, type gpmc.msc in the Start Search box, and press Enter to open the Group Policy Management console.
    2. In the Group Policy Management console, expand \Domain Controllers, right-click Default Domain Controller Policy, and click Edit.
    3. In the Group Policy Management Editor window, expand Computer Configuration\Windows Settings\Security Settings\Local Policies\User Right Assignment, and then you will see the security setting Allow log on locally in the right pane.
    4. Double-click the security setting Allow log on locally, click Add User or Group tab, click Browse, type domain users in the box, click Check Names, and click OK three times to apply the settings.
    5. On the Windows Server 2008 domain controller, run command gpupdate /force to apply the policy.

    Aprovecho la oportunidad para agradecerte por participar del blog y ayudar a que siga creciendo! Te pido que difundas la direccion del sitio y mi twitter @RaDiansBlog, asi sumamos mas gente. Te invito a que veas los labs, videos, tutoriales, notas. Si querés buscar un tema o necesitas ayuda, tenés la solapa AYUDA donde explico un poco como hacerlo, sino también tenés el buscador de google.

    En 2014 debido a nuevas disposiciones de la ley Argentina debo afrontar distintos gastos para mantener el blog en funcionamiento. Si te parecio util la informacion del blog hace click en el boton “DONATE”

    Seguimos en contacto! Saludos y gracias!

Comments are closed.