dudas privilegios administrador y políticas

Buenos dias Angel

Primero me parece muy raro que necesiten correr programas como administrador
( sopongo que es administrador local y no del dominio)
Las carpetas a las cuales se quiere restringir el acceso estan en un File
Server o son locales?
Para eliminar el boton Ejecutar y Mis sitios de Red los podes realizar desde
una GPO.


Saludos

Cristian Barrios
MCSA


"arb2000" escribió en el mensaje
news:
Hola a todos, tengo un problema. Se trata de cambiar la forma de
trabajo de una organización.

La situación es la siguiente. Directorio activo con 15 usuarios.

Por motivos de seguridad y operativa diaria, las conexiones en remoto
se realizan a través de una VPN (sonicwall) pero con las credenciales
“administrador” de Windows (para poder tener control total sobre
programas, etc…).

Por problemas de seguridad se quiere restringir el acceso a una serie
de carpetas ya definida, a ese usuario administrador.

Para ello hemos creado una nueva cuenta dentro del grupo
administradores y la hemos agregado en la pestaña seguridad de las
carpetas (d:\datos\usuarios\XXXX) con control total.

El trabajo de copia de seguridad también se cambiará para que utilice
esas credenciales y pueda acceder a esas carpetas.

Mi pregunta es, cómo debo degradar la cuenta administrador para que
tan sólo no pueda acceder al contenido de esas carpetas.

Aprovechando la circunstancia y que te veo bastante puesto en el tema,
te comento un par de cosas.

Quiero aprovechar para quitar la política de sincronización y de paso,
por medio de políticas, que los usuarios no puedan utilizar ni
Ejecutar – ni Mis Sitios de Red.

Vamos, que una vez que el usuario tiene mapeadas sus unidades de red
correspondientes (software gestión y su carpeta en servidor) que no
pueda “moverse” por el resto de carpetas, ni siquiera con las
credenciales de administrador.

Por cierto el usuario no debe cambiar de contraseña pues por alguna
extraña razón “deben” seguir entrando de la misma manera, para que
parezca que no ha pasado nada.

Muchas gracias por adelantado,
Un cordial saludo
Angel Ramírez

On 20 abr, 20:02, "Cristian Barrios" wrote:

Buenos dias Angel

Primero me parece muy raro que necesiten correr programas como administrador
( sopongo que es administrador local y no del dominio)
Las carpetas a las cuales se quiere restringir el acceso estan en un File
Server o son locales?
Para eliminar el boton Ejecutar y Mis sitios de Red los podes realizar desde
una GPO.

Saludos

Cristian Barrios
MCSA

"arb2000" escribió en el mensajenews:
Hola a todos, tengo un problema. Se trata de cambiar la forma de
trabajo de una organización.

La situación es la siguiente. Directorio activo con 15 usuarios.

Por motivos de seguridad y operativa diaria, las conexiones en remoto
se realizan a través de una VPN (sonicwall) pero con las credenciales
“administrador” de Windows (para poder tener control total sobre
programas, etc…).

Por problemas de seguridad se quiere restringir el acceso a una serie
de carpetas ya definida, a ese usuario administrador.

Para ello hemos creado una nueva cuenta dentro del grupo
administradores y la hemos agregado en la pestaña seguridad de las
carpetas (d:\datos\usuarios\XXXX) con control total.

El trabajo de copia de seguridad también se cambiará para que utilice
esas credenciales y pueda acceder a esas carpetas.

Mi pregunta es, cómo debo degradar la cuenta administrador para que
tan sólo no pueda acceder al contenido de esas carpetas.

Aprovechando la circunstancia y que te veo bastante puesto en el tema,
te comento un par de cosas.

Quiero aprovechar para quitar la política de sincronización y de paso,
por medio de políticas, que los usuarios no puedan utilizar ni
Ejecutar – ni Mis Sitios de Red.

Vamos, que una vez que el usuario tiene mapeadas sus unidades de red
correspondientes (software gestión y su carpeta en servidor) que no
pueda “moverse” por el resto de carpetas, ni siquiera con las
credenciales de administrador.

Por cierto el usuario no debe cambiar de contraseña pues por alguna
extraña razón “deben” seguir entrando de la misma manera, para que
parezca que no ha pasado nada.

Muchas gracias por adelantado,
Un cordial saludo
Angel Ramírez

buenas noches ángel.
como comenta el amigo cristian esas configuraciones se deben realizar
mediante políticas.para el tema de los accesos
tendríamos que redifinir las acl's ntfs dentro del árbol de
directorios que quieras o que no vean de manera explícita, ya que al
estar dentro del grupo administradores por defecto tienen control
total, yo suelo utilizar ntfs para restringir el acceso en vez de
utilizar las acl's de recursos compartidos, recuerda que siempre
puedes auditar los accesos, inicios de sesión en la red
para el tema de la copia de seguridad, yo por ejemplo crearía otro
cuenta de usuario distinta y la introduciría en el grupo de seguridad
"operadores de copia"
saludos