{"id":565,"date":"2009-02-20T16:27:07","date_gmt":"2009-02-20T19:27:07","guid":{"rendered":"http:\/\/www.radians.com.ar\/blog\/?p=565"},"modified":"2010-12-06T16:47:13","modified_gmt":"2010-12-06T19:47:13","slug":"como-restringir-el-uso-de-un-equipo-slo-a-usuario-de-un-dominio-howto","status":"publish","type":"post","link":"https:\/\/www.radians.com.ar\/blog\/?p=565","title":{"rendered":"Como restringir el uso de un equipo solo a usuario de un dominio {HOWTO}"},"content":{"rendered":"

\"BlockedUser\"<\/a> Hoy veremos como hacer para evitar que un usuario se logee a un dominio diferente a su dominio predeterminado (a donde pertenece su cuenta).<\/p>\n

B\u00e1sicamente cuando tenemos una conexi\u00f3n de confianza entre dominios o entre forest, los usuarios pueden logearse a los distintos dominios disponibles.<\/p>\n

El grupo \u201cusuarios autenticados\u201d de cada equipo le permite a los usuarios de un dominio de confianza, logearse a un equipo y autenticarse.<\/p>\n

Para impedir esto tenemos varias opciones:<\/p>\n

Via Group Policy<\/h3>\n

Por medio de nuestro dominio, podemos crear una pol\u00edtica que aplique a un determinado usuario. Generamos una nueva pol\u00edtica en el Group Policy Management Console<\/em> en nuestro servidor de dominio destino y habilitamos la entrada "Deny logon locally<\/strong><\/em>" para el dominio principal; y luego actualizamos las pol\u00edticas por medio del comando gpupdate \/force.<\/p>\n

Tengamos en cuenta que en algunos caso hacer esto puede traer inconvenientes con distintos software de backup. <\/p>\n

\"GroupPolicy\"<\/a> <\/p>\n

La explicaci\u00f3n de esta entrada:<\/p>\n

\"ExplicacionDenyLogOnLocally\"<\/a> <\/p>\n

Remover "NT AUTHORITY\\Authenticated Users"<\/strong><\/h3>\n

Para eliminar este grupo debemos hacer lo siguiente:<\/p>\n

1. Hacemos un clic con el bot\u00f3n derecho sobre "Mi  Computadora<\/em><\/strong>" y seleccionamos \u201cAdministrar<\/strong><\/em>\u201d<\/p>\n

2. Expandimos \u201cUsuarios Locales y Grupos\u201d<\/em><\/strong>, seleccionamos \u201cGrupos<\/em><\/strong>\u201d.<\/p>\n

3. Seleccionamos \u201cUsuarios\u201d<\/em><\/strong> y eliminamos "NTAUTHORITY\\Authenticated Users<\/em>"; luego agregamos el o los usuarios o grupos el grupo local \u201cUsuarios\u201d<\/em><\/strong>.<\/p>\n

\"RemoveGroup\"<\/a> <\/p>\n

Configurar "Deny logon locally" en la pol\u00edtica local de la computadora<\/strong><\/h3>\n

Tambi\u00e9n podemos hacerlo modificando la pol\u00edtica local de la computadora, para esto ejecutamos el comando "Gpedit.msc<\/em><\/strong>" y habilitamos la entrada "Deny logon locally<\/em><\/strong>" de la misma manera que lo vimos en el primer punto en que modific\u00e1bamos la pol\u00edtica de dominio. Una vez hecho esto debemos ejecutar el comando "Gpupdate \/force<\/em><\/strong>" para refrescar las pol\u00edticas que se aplican.<\/p>\n

Otra opci\u00f3n para esto seria utilizando la autenticaci\u00f3n selectiva cuando utilizamos una relaci\u00f3n de confianza en un Forest, para esto les dejo el link con la informaci\u00f3n.<\/p>\n

Espero que les sea de utilidad. Saludos, Roberto Di Lello. <\/p>\n

Mas info: <\/h3>\n