Directivas

Hola Gonzalo.
El motivo es que si se bloqueara tras n intentos un usuario
Administrador, sería muy fácil realizar un ataque contra ese servidor
o n servidores y conseguir que se bloqueara impidiéndote a ti
(administrador) realizar cualquier actuación en el server.
Que alguien me corrija si no estoy en lo cierto.

La verdad es que tiene mucho sentido lo que dices, yo tengo una
alternativa y es tener otro usuario que tenga permisos de
administrador del dominio, que por supuesto no se llama
administrador . De esa forma si se bloquea una cuenta puedo tirar con
la otra.
Ahora el problema se si se puede hacer para que se bloquee una usuario
miembro del grupo "administradores del dominio" que igual ni se
puede.

No existe "la solución", hay dos posibles pero ambas tienen sus riesgos

La opción por omisión es que la cuenta predeterminada Administrador, no se
bloquea en forma interactiva en el controlador de dominio. No lo he probado,
pero la documentación dice que sí se bloquea en cualquier otra estación, o a
través de la red.
El hecho que esta cuenta no se bloquea como las otras es la que lo hace
destino de muchos ataques

Otra opción, si tienes 2003 es crear otro(s) administrador(es), que se
bloquearán como cualquier cuenta de dominio, y deshabilitar la cuenta
original de Administrador. Pero el riesgo es más serio, pues te prodrían
bloquear todas las cuentas de administrador que tengas


Guillermo Delprato
MVP - MCT - MCSE
Buenos Aires, Argentina

Este mensaje se proporciona "como está" sin garantías de ninguna clase,y no
otorga ningún derecho. Ud. asume los riesgos
This posting is provided "AS IS" with no warranties, and confer no rights.
You assume all risk for your use.



"Gonzalo" wrote in message
news:

La verdad es que tiene mucho sentido lo que dices, yo tengo una
alternativa y es tener otro usuario que tenga permisos de
administrador del dominio, que por supuesto no se llama
administrador . De esa forma si se bloquea una cuenta puedo tirar con
la otra.
Ahora el problema se si se puede hacer para que se bloquee una usuario
miembro del grupo "administradores del dominio" que igual ni se
puede.

Muhcas gracias por tu respuesta Guillermo,

tengo claro lo que me comentas, lo único que no entiendo muy bien es
como hacer que se bloquee un usuario del dominio que sea miembro del
grupo "administradores del dominio" tal y como me dices en tu última
opción. Precisamente yo lo tengo de esa manera, con un usuario del
dominio que es admin del dominio, y la directiva del dominio está
configurada para que todos los usuarios se bloqueen con tres intentos
fallidos e password...pero nada... los usuarios administradores no se
bloquean..

Por cierto, si que tengo 2003 Server.

Gracias!

Sólo para estar absolutamente seguro, lo acabo de probar, con usuario que
pertenece a Administradores, y otro que pertenece a Administradores del
Dominio

Se bloquean como cualquier usuario


Guillermo Delprato
MVP - MCT - MCSE
Buenos Aires, Argentina

Este mensaje se proporciona "como está" sin garantías de ninguna clase,y no
otorga ningún derecho. Ud. asume los riesgos
This posting is provided "AS IS" with no warranties, and confer no rights.
You assume all risk for your use.



"Gonzalo" wrote in message
news:
Muhcas gracias por tu respuesta Guillermo,

tengo claro lo que me comentas, lo único que no entiendo muy bien es
como hacer que se bloquee un usuario del dominio que sea miembro del
grupo "administradores del dominio" tal y como me dices en tu última
opción. Precisamente yo lo tengo de esa manera, con un usuario del
dominio que es admin del dominio, y la directiva del dominio está
configurada para que todos los usuarios se bloqueen con tres intentos
fallidos e password...pero nada... los usuarios administradores no se
bloquean..

Por cierto, si que tengo 2003 Server.

Gracias!