Dudas Relaciones de confianza

Buenas tardes, gracias de antemano por su tiempo. Le explico mis dudas


Tengo dos dominios(2 bosques independientes) en redes distintas Windows
Server 2003:

-Dominio A (192.168.20.X/24) -Dominio B (192.168.30.x/24)
-User01 -User02
-CarpetaComunA -CarpetaComunB

He creado una reliacion de confianza de bosque bidireccional, (he
configurado el DNS/sugerencias de raiz y reenviadores en ambos extremos)

El Dns funciona genial entre ambos dominios, es decir desde cualquier
dominio alcanzo cualquier maquina de cada dominio.

He dado permisos a las CarpetasComunA y CarpetaComunB, y todos los
usuarios de A y de B pueden conectarse a estas carpetas.

Hasta aqui todo OK.

Ahora bien, me surjen dos cuestiones:

1) Los usuarios de las maquinas del dominio A pueden inciar sesion en el
dominio B utilizando usuarios del dominio B pero no mapea las unidades de
red del dominio B--Esto se puede evitar o conseguir que mapee las unidades
de red o impedir que los usuarios no inicien sesión en un dominio que no
sea el suyo??-

2) Al inciar los ordenadores aparence los dominios A y B en el listado de
inicio de sesión de forma que el usuario elige donde quiere
validarse --Esto se puede ocultar??


Pueden resolver mis dudas

1.-Un usuario del dominio A, no tiene que tener ni idea que existe un
usuario del dominio B, puesto que si tiene su usuario de su dominio, con
permisos para los recursos del B, no tiene por qué usar ningún usuario del
propio dominio B

2.-
How can I hide the drop-down list of domains that appears on the logon
screen of Windows XP and later machines?

http://www.windowsitpro.com/Article....html?Ad=1



How can I use Group Policy to hide the domain drop down list on the
Windows Logon dialog box?

http://www.windowsitpro.com/Article...93256.html


Salu2!!
Javier Inglés
https://mvp.support.microsoft.com/p...B5567431B0
MS MVP, Windows Server-Directory Services



"pepe" escribió en el mensaje
news:

Buenas tardes, gracias de antemano por su tiempo. Le explico mis dudas


Tengo dos dominios(2 bosques independientes) en redes distintas Windows
Server 2003:

-Dominio A (192.168.20.X/24) -Dominio B
(192.168.30.x/24)
-User01 -User02
-CarpetaComunA -CarpetaComunB

He creado una reliacion de confianza de bosque bidireccional, (he
configurado el DNS/sugerencias de raiz y reenviadores en ambos extremos)

El Dns funciona genial entre ambos dominios, es decir desde cualquier
dominio alcanzo cualquier maquina de cada dominio.

He dado permisos a las CarpetasComunA y CarpetaComunB, y todos los
usuarios de A y de B pueden conectarse a estas carpetas.

Hasta aqui todo OK.

Ahora bien, me surjen dos cuestiones:

1) Los usuarios de las maquinas del dominio A pueden inciar sesion en el
dominio B utilizando usuarios del dominio B pero no mapea las unidades de
red del dominio B--Esto se puede evitar o conseguir que mapee las
unidades de red o impedir que los usuarios no inicien sesión en un
dominio que no sea el suyo??-

2) Al inciar los ordenadores aparence los dominios A y B en el listado de
inicio de sesión de forma que el usuario elige donde quiere
validarse --Esto se puede ocultar??


Pueden resolver mis dudas

Muchas gracias por la respuesta tan rapida

1) Es cierto que es complicado que un usuario averigüe la clave de un
usuario de otro dominio, sin embargo es muy comun que un usuario del
dominio A viaja a la oficina del dominio B y se sienta delante de un
ordenador y dice: ""Joder!! si esto es igual que en mi oficina y va el
tio y mete su usuario y su contraseña.."" y llega el problema "No veo mis
unidades de red y patatin y patatan". Ley de Murphy..

2) Una buena solución, aunque es dificil hacer entender a 400 usuarios que
deben cambiar su forma de logarse... puede ser un caos. Pero buscaremos la
forma


Gracias de nuevo
Un Saludo


"Javier Inglés [MS MVP]" escribió en el mensaje
news:eX$

1.-Un usuario del dominio A, no tiene que tener ni idea que existe un
usuario del dominio B, puesto que si tiene su usuario de su dominio, con
permisos para los recursos del B, no tiene por qué usar ningún usuario
del propio dominio B

2.-
How can I hide the drop-down list of domains that appears on the logon
screen of Windows XP and later machines?

http://www.windowsitpro.com/Article....html?Ad=1



How can I use Group Policy to hide the domain drop down list on the
Windows Logon dialog box?

http://www.windowsitpro.com/Article...93256.html


Salu2!!
Javier Inglés
https://mvp.support.microsoft.com/p...B5567431B0
MS MVP, Windows Server-Directory Services



"pepe" escribió en el mensaje
news:

Buenas tardes, gracias de antemano por su tiempo. Le explico mis dudas


Tengo dos dominios(2 bosques independientes) en redes distintas Windows
Server 2003:

-Dominio A (192.168.20.X/24) -Dominio B
(192.168.30.x/24)
-User01 -User02
-CarpetaComunA -CarpetaComunB

He creado una reliacion de confianza de bosque bidireccional, (he
configurado el DNS/sugerencias de raiz y reenviadores en ambos extremos)

El Dns funciona genial entre ambos dominios, es decir desde cualquier
dominio alcanzo cualquier maquina de cada dominio.

He dado permisos a las CarpetasComunA y CarpetaComunB, y todos los
usuarios de A y de B pueden conectarse a estas carpetas.

Hasta aqui todo OK.

Ahora bien, me surjen dos cuestiones:

1) Los usuarios de las maquinas del dominio A pueden inciar sesion en el
dominio B utilizando usuarios del dominio B pero no mapea las unidades
de red del dominio B--Esto se puede evitar o conseguir que mapee las
unidades de red o impedir que los usuarios no inicien sesión en un
dominio que no sea el suyo??-

2) Al inciar los ordenadores aparence los dominios A y B en el listado
de inicio de sesión de forma que el usuario elige donde quiere
validarse --Esto se puede ocultar??


Pueden resolver mis dudas

1) Entonces el problema lo tienes tú en el diseño; lo normal es que los
usuarios no se llamen igual entre dominios, y menos aún que tengan la
misma contraseña...si un user del dominio A "viaja" a la sede B, y allí
usa un user del B y su contraseña, no puedes hacer nada...se suponeq ue
eso no puede pasar porque debería estar montado de una forma más segura;
evidentemente si conoce un user/password del B, accederá con todas las
consecuencias...

2)???

Mírate los enlaces, es una GPO, cada usuario no tiene que hacer nada, lo
tiens que hacer tú siplemente a nivel de GPO nada más...

Salu2!!
Javier Inglés
https://mvp.support.microsoft.com/p...B5567431B0
MS MVP, Windows Server-Directory Services



"pepe" escribió en el mensaje
news:%

Muchas gracias por la respuesta tan rapida

1) Es cierto que es complicado que un usuario averigüe la clave de un
usuario de otro dominio, sin embargo es muy comun que un usuario del
dominio A viaja a la oficina del dominio B y se sienta delante de un
ordenador y dice: ""Joder!! si esto es igual que en mi oficina y va el
tio y mete su usuario y su contraseña.."" y llega el problema "No veo mis
unidades de red y patatin y patatan". Ley de Murphy..

2) Una buena solución, aunque es dificil hacer entender a 400 usuarios
que deben cambiar su forma de logarse... puede ser un caos. Pero
buscaremos la forma


Gracias de nuevo
Un Saludo


"Javier Inglés [MS MVP]" escribió en el mensaje
news:eX$

1.-Un usuario del dominio A, no tiene que tener ni idea que existe un
usuario del dominio B, puesto que si tiene su usuario de su dominio, con
permisos para los recursos del B, no tiene por qué usar ningún usuario
del propio dominio B

2.-
How can I hide the drop-down list of domains that appears on the logon
screen of Windows XP and later machines?

http://www.windowsitpro.com/Article....html?Ad=1



How can I use Group Policy to hide the domain drop down list on the
Windows Logon dialog box?

http://www.windowsitpro.com/Article...93256.html


Salu2!!
Javier Inglés
https://mvp.support.microsoft.com/p...B5567431B0
MS MVP, Windows Server-Directory Services



"pepe" escribió en el mensaje
news:

Buenas tardes, gracias de antemano por su tiempo. Le explico mis dudas


Tengo dos dominios(2 bosques independientes) en redes distintas Windows
Server 2003:

-Dominio A (192.168.20.X/24) -Dominio B
(192.168.30.x/24)
-User01 -User02
-CarpetaComunA -CarpetaComunB

He creado una reliacion de confianza de bosque bidireccional, (he
configurado el DNS/sugerencias de raiz y reenviadores en ambos
extremos)

El Dns funciona genial entre ambos dominios, es decir desde cualquier
dominio alcanzo cualquier maquina de cada dominio.

He dado permisos a las CarpetasComunA y CarpetaComunB, y todos los
usuarios de A y de B pueden conectarse a estas carpetas.

Hasta aqui todo OK.

Ahora bien, me surjen dos cuestiones:

1) Los usuarios de las maquinas del dominio A pueden inciar sesion en
el dominio B utilizando usuarios del dominio B pero no mapea las
unidades de red del dominio B--Esto se puede evitar o conseguir que
mapee las unidades de red o impedir que los usuarios no inicien sesión
en un dominio que no sea el suyo??-

2) Al inciar los ordenadores aparence los dominios A y B en el listado
de inicio de sesión de forma que el usuario elige donde quiere
validarse --Esto se puede ocultar??


Pueden resolver mis dudas

Hola de nuevo creo que hay un pequeño matiz que no he sabido explicar, lo
intentaré de nuevo

Recordemos que hay relacion de confianza entre los dos dominios y teniendo
en cuenta (que el usuario de A no conoce ningun usuario ni password del
dominio B)

1) un user del dominio A "viaja" a la sede B, e inicia sesion en la red B,
es decir selecciona el usuario y la pass y el dominio de A (pero en el pc
de la sede B) y puede iniciar sesión en el dominio A pero estando en la
oficina y en la red de B . Sin embargo las unidades de red no se mapean y
el dns funciona bien si lo hago manualmente por un net use.

Gracias por tu paciencia


"Javier Inglés [MS MVP]" escribió en el mensaje
news:

1) Entonces el problema lo tienes tú en el diseño; lo normal es que los
usuarios no se llamen igual entre dominios, y menos aún que tengan la
misma contraseña...si un user del dominio A "viaja" a la sede B, y allí
usa un user del B y su contraseña, no puedes hacer nada...se suponeq ue
eso no puede pasar porque debería estar montado de una forma más segura;
evidentemente si conoce un user/password del B, accederá con todas las
consecuencias...

2)???

Mírate los enlaces, es una GPO, cada usuario no tiene que hacer nada, lo
tiens que hacer tú siplemente a nivel de GPO nada más...

Salu2!!
Javier Inglés
https://mvp.support.microsoft.com/p...B5567431B0
MS MVP, Windows Server-Directory Services



"pepe" escribió en el mensaje
news:%

Muchas gracias por la respuesta tan rapida

1) Es cierto que es complicado que un usuario averigüe la clave de un
usuario de otro dominio, sin embargo es muy comun que un usuario del
dominio A viaja a la oficina del dominio B y se sienta delante de un
ordenador y dice: ""Joder!! si esto es igual que en mi oficina y va el
tio y mete su usuario y su contraseña.."" y llega el problema "No veo
mis unidades de red y patatin y patatan". Ley de Murphy..

2) Una buena solución, aunque es dificil hacer entender a 400 usuarios
que deben cambiar su forma de logarse... puede ser un caos. Pero
buscaremos la forma


Gracias de nuevo
Un Saludo


"Javier Inglés [MS MVP]" escribió en el mensaje
news:eX$

1.-Un usuario del dominio A, no tiene que tener ni idea que existe un
usuario del dominio B, puesto que si tiene su usuario de su dominio,
con permisos para los recursos del B, no tiene por qué usar ningún
usuario del propio dominio B

2.-
How can I hide the drop-down list of domains that appears on the logon
screen of Windows XP and later machines?

http://www.windowsitpro.com/Article....html?Ad=1



How can I use Group Policy to hide the domain drop down list on the
Windows Logon dialog box?

http://www.windowsitpro.com/Article...93256.html


Salu2!!
Javier Inglés
https://mvp.support.microsoft.com/p...B5567431B0
MS MVP, Windows Server-Directory Services



"pepe" escribió en el mensaje
news:

Buenas tardes, gracias de antemano por su tiempo. Le explico mis dudas


Tengo dos dominios(2 bosques independientes) en redes distintas
Windows Server 2003:

-Dominio A (192.168.20.X/24) -Dominio B
(192.168.30.x/24)
-User01 -User02
-CarpetaComunA -CarpetaComunB

He creado una reliacion de confianza de bosque bidireccional, (he
configurado el DNS/sugerencias de raiz y reenviadores en ambos
extremos)

El Dns funciona genial entre ambos dominios, es decir desde cualquier
dominio alcanzo cualquier maquina de cada dominio.

He dado permisos a las CarpetasComunA y CarpetaComunB, y todos los
usuarios de A y de B pueden conectarse a estas carpetas.

Hasta aqui todo OK.

Ahora bien, me surjen dos cuestiones:

1) Los usuarios de las maquinas del dominio A pueden inciar sesion en
el dominio B utilizando usuarios del dominio B pero no mapea las
unidades de red del dominio B--Esto se puede evitar o conseguir que
mapee las unidades de red o impedir que los usuarios no inicien sesión
en un dominio que no sea el suyo??-

2) Al inciar los ordenadores aparence los dominios A y B en el listado
de inicio de sesión de forma que el usuario elige donde quiere
validarse --Esto se puede ocultar??


Pueden resolver mis dudas