Problemas con Plantillas de Seguridad y GPol

06/01/2005 - 11:23 por Mauricio Martinez | Informe spam
Espero estár equivocado, o que se me aclare un poco ello, pero poniendo
atención con un cuadro de políticas definido para Usuarios Restringidos y
con plantilla de Seguridad definida con ciertos privilegios a carpetas en mi
caso denegar carpeta a carpeta desde ..\Windows\System32\*.*, C:\, con
permisos de Lectura y Ejecución únicamente. encontre un problema con los
mismos.
Los Usuarios que son curiosos buscan la forma de accesar a ciertos
programas (que no están restringidos para los administradores y Usuarios
Avanzados) como es el caso de Netscape, Media PLayer, etc.
Por ejemplo habriendo desde (el cuadro de dialogo Abrir de Excel) en
archivos que si tiene permitidos, aún cuando tiene restringido el icono de
Atras, subir Carpeta, y en el cuadro de diálogo solo les aparezca en blanco
al hacer clic en Open (se supone que tiene oculto y sin otros privilegios
sobre otras carpetas), aparece el Icono de UP One Level y si le da clic en
el ícono sin mover la flecha de Look In, pueden abrir hasta las carpetas de
los usuarios Avanzados y merodear entre ellas, ciertamente no tienen
privilegios de modificar pueden ejecutar las demás aplicaciones. Como puedo
hacer para que no puedan ni siquiera navegar por las carpetas, pero sin
quitarle los privilegios a demás aplicaciones que por ende necesitan tener
privilegios sobre ciertas carpetas para poder ejecutarse (en este caso
Remedy que necesita de Modificación, y la Emulación de S390 ), ya que si les
dejo únicamente a las carpetas el privilegio de Lectura y Ejecución no
funcionan estas aplicaciones ya que son de únicamente el Front End y en
realidad se conectan a un servidor que les provee la Info (remedy). Además
que quiero ver si es posible aplicar políticas en el Iexplorer a los
Usuarios restringidos sin que se apliquen a los administradores (porque se
aplica a todos), aún cuando deniego el permiso de Lectura en
%SystemRoot%\System32\GroupPolicy, en la pestana de seguridad a Ciertos
Usuarios Administradores. (que solo son 2) y locales. Algunas políticas
siguen vigentes para dichos administradores, y si quito deshabilito en el
administrador el Asesor de contenido pueden aún los Usuarios restringidos
(que se supone tienen aplicadas las POL) entrar a las páginas restringidas.
Y se supone que solo le quite la clave para el Perfil del Administrador sin
modificarlo en la MMC (Group Policy). Si podeis aclararme esto os
agradeceré.
_____________________________________________
Mauricio Martinez Garcia
First Level Support Analist
IBM México
Clzda Legaria Col. Irrigación.
tel. 52704000 ext. 05228.
e mail: morfeokmg@yahoo.it
morfeo_kmg@hotmail.com
maurmart@mx1.ibm.com
"La mia vita un 'illusione dei miei sogni"
 

Leer las respuestas

#1 Guillermo Delprato [MS-MVP]
06/01/2005 - 12:38 | Informe spam
Mauricio, te sugiero que las preguntas al grupo sean más puntuales. Es
decir con un problema concreto, y además especificando los pasos que has
realizado.
Es más fácil para todos leer, permite conocer qué pasos se han realizado
y dónde puede estar el problema, y además cada uno te puede dar una
ayuda con el tema que sepa o pueda.

Respecto de acceder a ciertas carpetas revisa estas dos entradas en las
directivas:
User Configuration\Administrative Templates\Windows Components\Windows
Explorer\Prevent access to drives from My Computer
User Configuration\Administrative Templates\Windows Components\Windows
Explorer\Hide these specified drives in My Computer

Por otro lado, si tienes problemas porque se las aplica a todos los
usuarios, pues debes hacer una estructura apropiada de unidades
organizativas y aplicar las directivas donde corresponda


Guillermo Delprato
MVP-MCT-MCSE-MCP
Buenos Aires, Argentina

NOTA. Por favor, las preguntas y comentarios en los grupos, así nos
beneficiamos todos.
Este mensaje se proporciona "como está" sin garantías de ninguna clase,
y no otorga ningún derecho. Ud. asume los riesgos
This posting is provided "AS IS" with no warranties, and confers no
rights. You assume all risk for your use.






"Mauricio Martinez" wrote in message
news::
Espero estár equivocado, o que se me aclare un poco ello, pero poniendo
atención con un cuadro de políticas definido para Usuarios Restringidos y

con plantilla de Seguridad definida con ciertos privilegios a carpetas en
mi
caso denegar carpeta a carpeta desde ..\Windows\System32\*.*, C:\, con
permisos de Lectura y Ejecución únicamente. encontre un problema con los

mismos.
Los Usuarios que son curiosos buscan la forma de accesar a ciertos
programas (que no están restringidos para los administradores y Usuarios

Avanzados) como es el caso de Netscape, Media PLayer, etc.
Por ejemplo habriendo desde (el cuadro de dialogo Abrir de Excel) en
archivos que si tiene permitidos, aún cuando tiene restringido el icono de

Atras, subir Carpeta, y en el cuadro de diálogo solo les aparezca en
blanco
al hacer clic en Open (se supone que tiene oculto y sin otros privilegios

sobre otras carpetas), aparece el Icono de UP One Level y si le da clic en

el ícono sin mover la flecha de Look In, pueden abrir hasta las carpetas
de
los usuarios Avanzados y merodear entre ellas, ciertamente no tienen
privilegios de modificar pueden ejecutar las demás aplicaciones. Como
puedo
hacer para que no puedan ni siquiera navegar por las carpetas, pero sin
quitarle los privilegios a demás aplicaciones que por ende necesitan tener

privilegios sobre ciertas carpetas para poder ejecutarse (en este caso
Remedy que necesita de Modificación, y la Emulación de S390 ), ya que si
les
dejo únicamente a las carpetas el privilegio de Lectura y Ejecución no
funcionan estas aplicaciones ya que son de únicamente el Front End y en
realidad se conectan a un servidor que les provee la Info (remedy).
Además
que quiero ver si es posible aplicar políticas en el Iexplorer a los
Usuarios restringidos sin que se apliquen a los administradores (porque se

aplica a todos), aún cuando deniego el permiso de Lectura en
%SystemRoot%\System32\GroupPolicy, en la pestana de seguridad a Ciertos
Usuarios Administradores. (que solo son 2) y locales. Algunas políticas
siguen vigentes para dichos administradores, y si quito deshabilito en el

administrador el Asesor de contenido pueden aún los Usuarios restringidos

(que se supone tienen aplicadas las POL) entrar a las páginas
restringidas.
Y se supone que solo le quite la clave para el Perfil del Administrador
sin
modificarlo en la MMC (Group Policy). Si podeis aclararme esto os
agradeceré.
_____________________________________________
Mauricio Martinez Garcia
First Level Support Analist
IBM México
Clzda Legaria Col. Irrigación.
tel. 52704000 ext. 05228.
e mail:


"La mia vita un 'illusione dei miei sogni"

Preguntas similares