Evitar que los usuarios puedan acceder al equipo en forma local

tenes que ingresar en cada pc con el admin local o admin del dominio y en
Administrar de mi pc (con boton derecho), en usuario elimina los usuarios
locales.

es decir, localmente a las pc (windows NT, 2000, xp, vista), solo debe
quedar un usuario que es el Administrador, el resto de los usuarios no debe
existir, de esa manera solo pueden ingresar con la cuenta de la red.
Otra cosa, en las propiedades tenes que agregar a las pcs al dominio.

saludos



"José Donoso" escribió en el mensaje
news:eSda%

Estoy montando un Dominio, actualmente los usuarios tienen cuentas locales
para acceder a estos.
He creado cuentas para cada uno de ellos en Active Directory, ahora quiero
que cuando accedan al dominio ya no puedan acceder como usuarios locales
ya que estas cuentas pueden instalar programas.

¿Como puedo hacer esto?

Atte.
JDM

NO, que es muy arriesgado hacerlo así desde un principio
Basta con que se *deshabiliten* las cuentas de usuario.
Luego, si pasado un tiempo, no los necesita, entonces sí los borra.
El tema es que seguramente va a tener que copiar perfiles ;-)

Guillermo Delprato
MVP - MCT - MCSE
Buenos Aires, Argentina

Este mensaje se proporciona "como está" sin garantías de ninguna clase,
y no otorga ningún derecho. Ud. asume los riesgos
This posting is provided "AS IS" with no warranties, and confer no rights.
You assume
all risk for your use.



"msnews.microsoft.com" wrote in message
news:

tenes que ingresar en cada pc con el admin local o admin del dominio y en
Administrar de mi pc (con boton derecho), en usuario elimina los usuarios
locales.

es decir, localmente a las pc (windows NT, 2000, xp, vista), solo debe
quedar un usuario que es el Administrador, el resto de los usuarios no
debe existir, de esa manera solo pueden ingresar con la cuenta de la red.
Otra cosa, en las propiedades tenes que agregar a las pcs al dominio.

saludos



"José Donoso" escribió en el mensaje
news:eSda%

Estoy montando un Dominio, actualmente los usuarios tienen cuentas
locales para acceder a estos.
He creado cuentas para cada uno de ellos en Active Directory, ahora
quiero que cuando accedan al dominio ya no puedan acceder como usuarios
locales ya que estas cuentas pueden instalar programas.

¿Como puedo hacer esto?

Atte.
JDM

Te paso una solucion que yo aplique en mi ambiente AD , una vez que el
usuario esta logged en el dominio aplicas un script de inicio de sesion por
politicas que cambie el password de la cuenta local que desees en este caso
la de administrator (ya sea a los authenticated users o a un grupo en
especifico) , tu defines el password que tendran todos los admins locales en
cada equipo y listo...para evitar a los usuarios habilidosos (un poco)
puedes aplicar otro script que retire del grupo administrators la cuenta de
dominio y lo agregue a usuarios avanzados y verifiques que los avanzados no
puedan cambiar passwords localmente...como veras hay varias consideraciones
qu epuedes tomar , la ventaja es que por politicas y scripting puedes
evitarte mucho trabajo manual.

te paso el script para cambiar el password local.
strComputer = "."
Set objUser = GetObject("WinNT://" & strComputer & "/Administrador, user")
objUser.SetPassword "newpass"
objUser.SetInfo

Falta el script que saque al usuario del grupo adminsitrators y lo inserte
dentro avanzados, si te interesa me dices para hacer una busqueda en mis
files...

espero te sirvan mis comentarios...saludos!

JuanM Olazaran
MCP, MCSA, MCSE 2K, 2K3


"Guillermo Delprato [MS-MVP]"
wrote in message news:e$

NO, que es muy arriesgado hacerlo así desde un principio
Basta con que se *deshabiliten* las cuentas de usuario.
Luego, si pasado un tiempo, no los necesita, entonces sí los borra.
El tema es que seguramente va a tener que copiar perfiles ;-)

Guillermo Delprato
MVP - MCT - MCSE
Buenos Aires, Argentina

Este mensaje se proporciona "como está" sin garantías de ninguna clase,
y no otorga ningún derecho. Ud. asume los riesgos
This posting is provided "AS IS" with no warranties, and confer no rights.
You assume
all risk for your use.



"msnews.microsoft.com" wrote in message
news:

tenes que ingresar en cada pc con el admin local o admin del dominio y en
Administrar de mi pc (con boton derecho), en usuario elimina los usuarios
locales.

es decir, localmente a las pc (windows NT, 2000, xp, vista), solo debe
quedar un usuario que es el Administrador, el resto de los usuarios no
debe existir, de esa manera solo pueden ingresar con la cuenta de la red.
Otra cosa, en las propiedades tenes que agregar a las pcs al dominio.

saludos



"José Donoso" escribió en el mensaje
news:eSda%

Estoy montando un Dominio, actualmente los usuarios tienen cuentas
locales para acceder a estos.
He creado cuentas para cada uno de ellos en Active Directory, ahora
quiero que cuando accedan al dominio ya no puedan acceder como usuarios
locales ya que estas cuentas pueden instalar programas.

¿Como puedo hacer esto?

Atte.
JDM

¿y qué impide que el usuario lea este script y conozca el Password??

Porque como cualquier script de Inicio de Sesión, está ubicado en el recurso
Netlogon y el usuario tiene permiso de lectura

Ramon Jimenez


"Juan Manuel Olazaran Gonzalez" wrote in
message news:

Te paso una solucion que yo aplique en mi ambiente AD , una vez que el
usuario esta logged en el dominio aplicas un script de inicio de sesion
por politicas que cambie el password de la cuenta local que desees en este
caso la de administrator (ya sea a los authenticated users o a un grupo en
especifico) , tu defines el password que tendran todos los admins locales
en cada equipo y listo...para evitar a los usuarios habilidosos (un poco)
puedes aplicar otro script que retire del grupo administrators la cuenta
de dominio y lo agregue a usuarios avanzados y verifiques que los
avanzados no puedan cambiar passwords localmente...como veras hay varias
consideraciones qu epuedes tomar , la ventaja es que por politicas y
scripting puedes evitarte mucho trabajo manual.

te paso el script para cambiar el password local.
strComputer = "."
Set objUser = GetObject("WinNT://" & strComputer & "/Administrador, user")
objUser.SetPassword "newpass"
objUser.SetInfo

Falta el script que saque al usuario del grupo adminsitrators y lo inserte
dentro avanzados, si te interesa me dices para hacer una busqueda en mis
files...

espero te sirvan mis comentarios...saludos!

JuanM Olazaran
MCP, MCSA, MCSE 2K, 2K3


"Guillermo Delprato [MS-MVP]"
wrote in message
news:e$

NO, que es muy arriesgado hacerlo así desde un principio
Basta con que se *deshabiliten* las cuentas de usuario.
Luego, si pasado un tiempo, no los necesita, entonces sí los borra.
El tema es que seguramente va a tener que copiar perfiles ;-)

Guillermo Delprato
MVP - MCT - MCSE
Buenos Aires, Argentina

Este mensaje se proporciona "como está" sin garantías de ninguna clase,
y no otorga ningún derecho. Ud. asume los riesgos
This posting is provided "AS IS" with no warranties, and confer no
rights. You assume
all risk for your use.



"msnews.microsoft.com" wrote in message
news:

tenes que ingresar en cada pc con el admin local o admin del dominio y
en Administrar de mi pc (con boton derecho), en usuario elimina los
usuarios locales.

es decir, localmente a las pc (windows NT, 2000, xp, vista), solo debe
quedar un usuario que es el Administrador, el resto de los usuarios no
debe existir, de esa manera solo pueden ingresar con la cuenta de la
red.
Otra cosa, en las propiedades tenes que agregar a las pcs al dominio.

saludos



"José Donoso" escribió en el mensaje
news:eSda%

Estoy montando un Dominio, actualmente los usuarios tienen cuentas
locales para acceder a estos.
He creado cuentas para cada uno de ellos en Active Directory, ahora
quiero que cuando accedan al dominio ya no puedan acceder como usuarios
locales ya que estas cuentas pueden instalar programas.

¿Como puedo hacer esto?

Atte.
JDM

Ademas, un script de inicio de sesión se ejecuta con credenciales del
usuario. Solo funcionaría si el usuario pertenece al grupo local de
administradores
de la maquina.

Igual te refieres a un script de Arranque de Maquina (Startup), que aunque
funcionaría, tiene el mismo problema que te he comentado antes en el otro
post

Ramon Jimenez


"Juan Manuel Olazaran Gonzalez" wrote in
message news:

Te paso una solucion que yo aplique en mi ambiente AD , una vez que el
usuario esta logged en el dominio aplicas un script de inicio de sesion
por politicas que cambie el password de la cuenta local que desees en este
caso la de administrator (ya sea a los authenticated users o a un grupo en
especifico) , tu defines el password que tendran todos los admins locales
en cada equipo y listo...para evitar a los usuarios habilidosos (un poco)
puedes aplicar otro script que retire del grupo administrators la cuenta
de dominio y lo agregue a usuarios avanzados y verifiques que los
avanzados no puedan cambiar passwords localmente...como veras hay varias
consideraciones qu epuedes tomar , la ventaja es que por politicas y
scripting puedes evitarte mucho trabajo manual.

te paso el script para cambiar el password local.
strComputer = "."
Set objUser = GetObject("WinNT://" & strComputer & "/Administrador, user")
objUser.SetPassword "newpass"
objUser.SetInfo

Falta el script que saque al usuario del grupo adminsitrators y lo inserte
dentro avanzados, si te interesa me dices para hacer una busqueda en mis
files...

espero te sirvan mis comentarios...saludos!

JuanM Olazaran
MCP, MCSA, MCSE 2K, 2K3


"Guillermo Delprato [MS-MVP]"
wrote in message
news:e$

NO, que es muy arriesgado hacerlo así desde un principio
Basta con que se *deshabiliten* las cuentas de usuario.
Luego, si pasado un tiempo, no los necesita, entonces sí los borra.
El tema es que seguramente va a tener que copiar perfiles ;-)

Guillermo Delprato
MVP - MCT - MCSE
Buenos Aires, Argentina

Este mensaje se proporciona "como está" sin garantías de ninguna clase,
y no otorga ningún derecho. Ud. asume los riesgos
This posting is provided "AS IS" with no warranties, and confer no
rights. You assume
all risk for your use.



"msnews.microsoft.com" wrote in message
news:

tenes que ingresar en cada pc con el admin local o admin del dominio y
en Administrar de mi pc (con boton derecho), en usuario elimina los
usuarios locales.

es decir, localmente a las pc (windows NT, 2000, xp, vista), solo debe
quedar un usuario que es el Administrador, el resto de los usuarios no
debe existir, de esa manera solo pueden ingresar con la cuenta de la
red.
Otra cosa, en las propiedades tenes que agregar a las pcs al dominio.

saludos



"José Donoso" escribió en el mensaje
news:eSda%

Estoy montando un Dominio, actualmente los usuarios tienen cuentas
locales para acceder a estos.
He creado cuentas para cada uno de ellos en Active Directory, ahora
quiero que cuando accedan al dominio ya no puedan acceder como usuarios
locales ya que estas cuentas pueden instalar programas.

¿Como puedo hacer esto?

Atte.
JDM