Impedir que usuarios evadan politicas

No necesitas ejecutar ese comando al iniciar sesión, ya que lo hace por
defecto. Sin embargo, si tienen cuentas de administrador local,
inmediatamente después del inicio, o incluso de un gpupdate posterior,
siempre van a poder saltarse lo que hayas establecido si saben como hacerlo.
La solución pasa por hacer que las cuentas locales que tengan dejen de ser
administradores locales, y eso lo puedes hacer con una GPO del dominio en la
rama "Grupos Restringidos", definiendo el grupo Administradores y poniendo
en el mismo al grupo Admins. del Dominio, al administrador local (si
quieres, y en este caso le cambias la contraseña por la que tú quieras
mediante un script) y en cuanto se aplique la GPO al siguiente inicio de los
clientes sus usuarios locales dejarán de ser administradores de sus
máquinas.


Saludos
José Antonio Quílez
http://msmvps.com/blogs/quilez/



"Andres Eliseo Soncini" escribió en el
mensaje de noticias:OlI#

Hola a todos.

He configurado en nuestra empresa, una politica de diseno standard de
escritorio. Tengo algunos usuarios que por motivos de desarrollo necesitan
ser administradores locales de sus equipos.

Encontre que ellos evadian esta politica modificando el registro, por lo
que denegue el acceso al registro a sus usuarios. Ahora veo que lo han
vuelto a evadir, supongo yo, utilizando alguna cuenta local que ellos
mismos crearon. Tengo tambien configurada la redireccion de mis documentos
con archivos sin conexion. Cuando intento ejecutar gpupdate /force, me da
un mensaje para que vea si quiero cerrar o no la sesion. Quiero ejecutar
el gpupdate /force al inicio de sesion de cada usuario, pero no quiero que
les pregunte acerca de cerrar la sesion todo el tiempo. Hay alguna forma
de omitir esa pregunta o setear una respuesta automatica por si o por no?

Muchas Gracias,
Andres.

Al volver a iniciar sesion aplica todas las politicas de nuevo o solo las
que han cambiado?

La realidad es que cuando yo mismo, reproduzco lo que hacen estas personas y
reinicio el equipo, mi fondo de escritorio queda como yo lo deje. Luego, al
correr gpupdate /force y luego reiniciar el equipo, el escritorio me vuelve
a aparecer como indica la politica. Por eso mi observacion y pregunta.

La macana es que no puedo restringir a estos usuarios, ya que son
programadores y necesitan esos permisos.

Saludos,
Andres.


"Jose Antonio Quílez [MS MVP]" escribió en el
mensaje news:

No necesitas ejecutar ese comando al iniciar sesión, ya que lo hace por
defecto. Sin embargo, si tienen cuentas de administrador local,
inmediatamente después del inicio, o incluso de un gpupdate posterior,
siempre van a poder saltarse lo que hayas establecido si saben como
hacerlo.
La solución pasa por hacer que las cuentas locales que tengan dejen de ser
administradores locales, y eso lo puedes hacer con una GPO del dominio en
la rama "Grupos Restringidos", definiendo el grupo Administradores y
poniendo en el mismo al grupo Admins. del Dominio, al administrador local
(si quieres, y en este caso le cambias la contraseña por la que tú quieras
mediante un script) y en cuanto se aplique la GPO al siguiente inicio de
los clientes sus usuarios locales dejarán de ser administradores de sus
máquinas.


Saludos
José Antonio Quílez
http://msmvps.com/blogs/quilez/



"Andres Eliseo Soncini" escribió en el
mensaje de noticias:OlI#

Hola a todos.

He configurado en nuestra empresa, una politica de diseno standard de
escritorio. Tengo algunos usuarios que por motivos de desarrollo
necesitan ser administradores locales de sus equipos.

Encontre que ellos evadian esta politica modificando el registro, por lo
que denegue el acceso al registro a sus usuarios. Ahora veo que lo han
vuelto a evadir, supongo yo, utilizando alguna cuenta local que ellos
mismos crearon. Tengo tambien configurada la redireccion de mis
documentos con archivos sin conexion. Cuando intento ejecutar gpupdate
/force, me da un mensaje para que vea si quiero cerrar o no la sesion.
Quiero ejecutar el gpupdate /force al inicio de sesion de cada usuario,
pero no quiero que les pregunte acerca de cerrar la sesion todo el
tiempo. Hay alguna forma de omitir esa pregunta o setear una respuesta
automatica por si o por no?

Muchas Gracias,
Andres.

Mediante GPO, ve a la rama Configuración de Equipo - Plantillas
Administrativas - Sistema - Directiva de Grupo, y allí verás una serie de
políticas que empiezan por "Procesamiento de directivas de ...". Por cada
una que quieras, la habilitas y le marcas la casilla de Procesar incluso si
los objetos de directiva no han cambiado. Si esto lo combinas con un
intervalo mediando para la aplicación de directivas (en la misma rama,
aunque cuidado con poner un tiempo demasiado pequeño, por la sobrecarga que
supone).


Saludos
José Antonio Quílez
http://msmvps.com/blogs/quilez/



"Andres Eliseo Soncini" escribió en el
mensaje de noticias:

Al volver a iniciar sesion aplica todas las politicas de nuevo o solo las
que han cambiado?

La realidad es que cuando yo mismo, reproduzco lo que hacen estas personas
y reinicio el equipo, mi fondo de escritorio queda como yo lo deje. Luego,
al correr gpupdate /force y luego reiniciar el equipo, el escritorio me
vuelve a aparecer como indica la politica. Por eso mi observacion y
pregunta.

La macana es que no puedo restringir a estos usuarios, ya que son
programadores y necesitan esos permisos.

Saludos,
Andres.


"Jose Antonio Quílez [MS MVP]" escribió en el
mensaje news:

No necesitas ejecutar ese comando al iniciar sesión, ya que lo hace por
defecto. Sin embargo, si tienen cuentas de administrador local,
inmediatamente después del inicio, o incluso de un gpupdate posterior,
siempre van a poder saltarse lo que hayas establecido si saben como
hacerlo.
La solución pasa por hacer que las cuentas locales que tengan dejen de
ser administradores locales, y eso lo puedes hacer con una GPO del
dominio en la rama "Grupos Restringidos", definiendo el grupo
Administradores y poniendo en el mismo al grupo Admins. del Dominio, al
administrador local (si quieres, y en este caso le cambias la contraseña
por la que tú quieras mediante un script) y en cuanto se aplique la GPO
al siguiente inicio de los clientes sus usuarios locales dejarán de ser
administradores de sus máquinas.


Saludos
José Antonio Quílez
http://msmvps.com/blogs/quilez/



"Andres Eliseo Soncini" escribió en el
mensaje de noticias:OlI#

Hola a todos.

He configurado en nuestra empresa, una politica de diseno standard de
escritorio. Tengo algunos usuarios que por motivos de desarrollo
necesitan ser administradores locales de sus equipos.

Encontre que ellos evadian esta politica modificando el registro, por lo
que denegue el acceso al registro a sus usuarios. Ahora veo que lo han
vuelto a evadir, supongo yo, utilizando alguna cuenta local que ellos
mismos crearon. Tengo tambien configurada la redireccion de mis
documentos con archivos sin conexion. Cuando intento ejecutar gpupdate
/force, me da un mensaje para que vea si quiero cerrar o no la sesion.
Quiero ejecutar el gpupdate /force al inicio de sesion de cada usuario,
pero no quiero que les pregunte acerca de cerrar la sesion todo el
tiempo. Hay alguna forma de omitir esa pregunta o setear una respuesta
automatica por si o por no?

Muchas Gracias,
Andres.