NEGAR EL ACCESO A UN DOMINIO

Sólo se me ocurre que montéis una infraestructura PKI con SmartCards, porque de otro modo, a la que conozcan un usuario del dominio, podrán acceder.


Saludos,

Marc
MVP Windows Server System - Directory Services
MCSA Windows Server 2003
Citrix CCA
Oracle9i Certified Associate (OCA)

Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho.

This posting is provided "AS IS" with no warranties, and confers no rights. You assume all risk for your use.

"SOS" escribió en el mensaje news:

Srs, tengo el siguiente escenario:

Se tiene una RED con UN DOMINIO al cual estan adscritos varias maquinas y
algunas no.

La Pregunta es:

1.- COMO DENEGAR A EQUIPOS EN LOS CUALES EL USUARIO NO SE HA LOGUEADO AL
DOMINIO, es decir un usuario accede a su PC como administrador de la MISMA
pero puede acceder al Dominio con su usuario y clave del dominio, la idea es
que acceda al DOMINIO solo cuando se loguea al dominio, el equipo esta
inscrito en el dominio..

2.- COMO DENEGAR A EUIPOS QUE NO PERTENECEN AL DOMINIO, es decir hay equipos
que no son parte del DOMINO (EMPRESAS AJENAS A LA RED), pero si pueden
accesar si saben un usuario contraseña de cualquier usuario del dominio.

Estas dos preguntas son para aumentar laseguridad en mi RED que se me ha
presentado ya que como somos una emprea con muchs equipos y usuarios algunos
no aplican al 100% lo de CLAVES PRIVADAS o de no dar su Usuario y contraseña
de RED.

Saludos
Mauricio

desde tu servidor puedes indicar para cada usuario las maquinas en las que
puede iniciar sesion.. esto evitaria que alguie inicie sesion en una maquina
que tu no hayas autorizado anteriormente aunque conozcan el usuario y la
clave... no obstante... si son muchos Pcs y muchos usuarios.. mantener esto
puede ser un poco tedioso quizas..


"SOS" escribió en el mensaje
news:

Srs, tengo el siguiente escenario:

Se tiene una RED con UN DOMINIO al cual estan adscritos varias maquinas y
algunas no.

La Pregunta es:

1.- COMO DENEGAR A EQUIPOS EN LOS CUALES EL USUARIO NO SE HA LOGUEADO AL
DOMINIO, es decir un usuario accede a su PC como administrador de la MISMA
pero puede acceder al Dominio con su usuario y clave del dominio, la idea
es
que acceda al DOMINIO solo cuando se loguea al dominio, el equipo esta
inscrito en el dominio..

2.- COMO DENEGAR A EUIPOS QUE NO PERTENECEN AL DOMINIO, es decir hay
equipos
que no son parte del DOMINO (EMPRESAS AJENAS A LA RED), pero si pueden
accesar si saben un usuario contraseña de cualquier usuario del dominio.

Estas dos preguntas son para aumentar laseguridad en mi RED que se me ha
presentado ya que como somos una emprea con muchs equipos y usuarios
algunos
no aplican al 100% lo de CLAVES PRIVADAS o de no dar su Usuario y
contraseña
de RED.

Saludos
Mauricio

Aunque inicien sesión con una cuenta local, si cuando acceden a un recurso
del dominio, ponen usuario/contraseña correspondiente al dominio, el acceso
a los recursos del dominio es con esta última, no con la cuenta local

Es una estructura "muy heterodoxa" la que tienes :-)
Las recomendaciones son que en las máquinas del dominio, no existan usuarios
locales (salvo los predefinidos). Con lo cual obligas a iniciar sesión en el
dominio
Y no tener en tu red máquinas que no están en el dominio, y por lo tanto
fuera de tu control.
Por otro lado, nunca es conveniente que los usuarios del dominio sean
administradores de sus equipos

Guillermo Delprato
MVP - MCT - MCSE
Buenos Aires, Argentina

Este mensaje se proporciona "como está" sin garantías de ninguna clase,
y no otorga ningún derecho. Ud. asume los riesgos
This posting is provided "AS IS" with no warranties, and confer no rights.
You assume
all risk for your use.



"SOS" wrote in message
news:

Srs, tengo el siguiente escenario:

Se tiene una RED con UN DOMINIO al cual estan adscritos varias maquinas y
algunas no.

La Pregunta es:

1.- COMO DENEGAR A EQUIPOS EN LOS CUALES EL USUARIO NO SE HA LOGUEADO AL
DOMINIO, es decir un usuario accede a su PC como administrador de la MISMA
pero puede acceder al Dominio con su usuario y clave del dominio, la idea
es
que acceda al DOMINIO solo cuando se loguea al dominio, el equipo esta
inscrito en el dominio..

2.- COMO DENEGAR A EUIPOS QUE NO PERTENECEN AL DOMINIO, es decir hay
equipos
que no son parte del DOMINO (EMPRESAS AJENAS A LA RED), pero si pueden
accesar si saben un usuario contraseña de cualquier usuario del dominio.

Estas dos preguntas son para aumentar laseguridad en mi RED que se me ha
presentado ya que como somos una emprea con muchs equipos y usuarios
algunos
no aplican al 100% lo de CLAVES PRIVADAS o de no dar su Usuario y
contraseña
de RED.

Saludos
Mauricio

Hola Pepe,

Muchas gracias por el dato, y como hago eso.? se que es tediosos peor por la
estructura de mi RED debo hacerlo.

Saludos
Mauricio


"Pepe" wrote:

desde tu servidor puedes indicar para cada usuario las maquinas en las que
puede iniciar sesion.. esto evitaria que alguie inicie sesion en una maquina
que tu no hayas autorizado anteriormente aunque conozcan el usuario y la
clave... no obstante... si son muchos Pcs y muchos usuarios.. mantener esto
puede ser un poco tedioso quizas..


"SOS" escribió en el mensaje
news:
> Srs, tengo el siguiente escenario:
>
> Se tiene una RED con UN DOMINIO al cual estan adscritos varias maquinas y
> algunas no.
>
> La Pregunta es:
>
> 1.- COMO DENEGAR A EQUIPOS EN LOS CUALES EL USUARIO NO SE HA LOGUEADO AL
> DOMINIO, es decir un usuario accede a su PC como administrador de la MISMA
> pero puede acceder al Dominio con su usuario y clave del dominio, la idea
> es
> que acceda al DOMINIO solo cuando se loguea al dominio, el equipo esta
> inscrito en el dominio..
>
> 2.- COMO DENEGAR A EUIPOS QUE NO PERTENECEN AL DOMINIO, es decir hay
> equipos
> que no son parte del DOMINO (EMPRESAS AJENAS A LA RED), pero si pueden
> accesar si saben un usuario contraseña de cualquier usuario del dominio.
>
> Estas dos preguntas son para aumentar laseguridad en mi RED que se me ha
> presentado ya que como somos una emprea con muchs equipos y usuarios
> algunos
> no aplican al 100% lo de CLAVES PRIVADAS o de no dar su Usuario y
> contraseña
> de RED.
>
> Saludos
> Mauricio

En las propiedades del usuario dentro del AD de tu dominio tienes una
pestaña donde puedes especificar las estaciones desde la que pueden iniciar
sesion ese usuario. Empieza por ahi haciendo una prueba con un usuario y 2
maquinas y luego saca conclusiones. Mira a ver si puedes trabajar con grupos
en los que lo miembros sean maquinas.. quizas con eso simplifiques trabajo
pero ahora de cabeza no sabria decirtelo.


"SOS" escribió en el mensaje
news:

Hola Pepe,

Muchas gracias por el dato, y como hago eso.? se que es tediosos peor por
la
estructura de mi RED debo hacerlo.

Saludos
Mauricio


"Pepe" wrote:

desde tu servidor puedes indicar para cada usuario las maquinas en las
que
puede iniciar sesion.. esto evitaria que alguie inicie sesion en una
maquina
que tu no hayas autorizado anteriormente aunque conozcan el usuario y la
clave... no obstante... si son muchos Pcs y muchos usuarios.. mantener
esto
puede ser un poco tedioso quizas..


"SOS" escribió en el mensaje
news:
> Srs, tengo el siguiente escenario:
>
> Se tiene una RED con UN DOMINIO al cual estan adscritos varias maquinas
> y
> algunas no.
>
> La Pregunta es:
>
> 1.- COMO DENEGAR A EQUIPOS EN LOS CUALES EL USUARIO NO SE HA LOGUEADO
> AL
> DOMINIO, es decir un usuario accede a su PC como administrador de la
> MISMA
> pero puede acceder al Dominio con su usuario y clave del dominio, la
> idea
> es
> que acceda al DOMINIO solo cuando se loguea al dominio, el equipo esta
> inscrito en el dominio..
>
> 2.- COMO DENEGAR A EUIPOS QUE NO PERTENECEN AL DOMINIO, es decir hay
> equipos
> que no son parte del DOMINO (EMPRESAS AJENAS A LA RED), pero si pueden
> accesar si saben un usuario contraseña de cualquier usuario del
> dominio.
>
> Estas dos preguntas son para aumentar laseguridad en mi RED que se me
> ha
> presentado ya que como somos una emprea con muchs equipos y usuarios
> algunos
> no aplican al 100% lo de CLAVES PRIVADAS o de no dar su Usuario y
> contraseña
> de RED.
>
> Saludos
> Mauricio