No permitir guardar nada en local

Puedes aplicar permisos de solo lectura sobre %username% de Documents And
Settings, pero una directiva de esas características no existe.
Puedes también, mediante directivas, limitar e impedir el acceso a menú
Inicio, Panel de Control, Mi PC, etc.
De esa forma, los puedes limintar a que en su escritorio únicamente tengan
una unidad de red y Mis Documentos

Daniel Ríos



"gk79" escribió en el mensaje
news:
Buenas!

Sabéis cómo podría "obligar" a los usuarios del dominio a que cada vez
que guarden un fichero lo tengan que hace en una unidad de red, o como
mucho en la carpeta Mis documentos? El servidor es un sbs 2003 r2.

Gracias!

Hola, Gk79:

Un par de detalles a tener en cuenta, maese Daniel:
1.- Aplicando permisos de sólo lectura al directorio
%userprofile% sólo consigues que puedan surgir
mensajes de error en la carga del perfil de usuario
durante el inicio de sesión. Si el propósito es hacer
un perfil obligatorio, es conveniente renombrar el
fichero "NTUSER.dat" por "NTUSER.man" que se
halla en el directorio "%userprofile%" una vez hayas
definido un perfil de usuario corporativo. Más info:

Crear un perfil de usuario obligatorio
http://technet2.microsoft.com/windo...x?mfr=true

2.- Por fortuna/desgracia, NO se puede ocultar el menú
inicio por GPO, pero sí es cierto que se puede limitar y
mucho los accesos del mismo, así como del escritorio
y del propio SO. Como es un tanto complejo aplicar de
forma correcta las directivas necesarias para tu escenario,
Microsoft® tiene desarrolladas varias plantillas de seguridad
preconfiguradas para aplicar según qué escenarios. Quizá
alguna de ellas pueda ser de utilidad. Más info y descargas:

Descarga de plantillas de seguridad
http://www.microsoft.com/downloads/...x?FamilyIdŠ2643C1-0685-4D89-B655-521EA6C7B4DB&displaylang=en

Resumen de configuración de plantillas de seguridad
http://www.microsoft.com/spain/tech...gapxc.mspx

Por lo demás, personalmente considero mucho más efectivo
usar la herramienta de redirección de carpetas para "Mis
documentos", "Escritorio" y "Menú inicio" que en combinación
con el perfil obligatorio y la directiva de "Sistema de archivos"
(que impide la opción de escritura en TODOS los directorios
salvo el que se especifique -preferentemente "Temp" del SO-)
salvando la asignación de privilegio de usuario/invitado del
dominio) hace que a priori, el sistema esté lo bastante bloqueado
como para que un usuario no pueda modificarlo. Ahora bien,
nunca hay que subestimarlos. Resulta mucho más efectiva la
llamada "Ingeniería social" que las restricciones que puedas colocar
en la red corporativa. Más info:

Redirección de carpetas
http://technet2.microsoft.com/windo...x?mfr=true

Sistema de archivos:
Haz una búsqueda en la ayuda del MMC de tu sistema con la
expresión "Sistema de acrchivos (opción de directiva)"

Guías de políticas de seguridad
http://www.microsoft.com/spain/tech...icies.mspx
·
Ya nos contarás cómo te ha ido...
==Desiderio Ondo | Ing. en Informática.
Certificado ITIL | MCSE MS-w2K3.
http://pantuflo.escet.urjc.es/~desitech


"Daniel Ríos" wrote:

Puedes aplicar permisos de solo lectura sobre %username% de Documents And
Settings, pero una directiva de esas características no existe.
Puedes también, mediante directivas, limitar e impedir el acceso a menú
Inicio, Panel de Control, Mi PC, etc.
De esa forma, los puedes limintar a que en su escritorio únicamente tengan
una unidad de red y Mis Documentos

Daniel Ríos



"gk79" escribió en el mensaje
news:
Buenas!

Sabéis cómo podría "obligar" a los usuarios del dominio a que cada vez
que guarden un fichero lo tengan que hace en una unidad de red, o como
mucho en la carpeta Mis documentos? El servidor es un sbs 2003 r2.

Gracias!

Interesante aclaración, muchas gracias.

Daniel Ríos



"Desiderio Ondo." escribió en el
mensaje news:

Hola, Gk79:

Un par de detalles a tener en cuenta, maese Daniel:
1.- Aplicando permisos de sólo lectura al directorio
%userprofile% sólo consigues que puedan surgir
mensajes de error en la carga del perfil de usuario
durante el inicio de sesión. Si el propósito es hacer
un perfil obligatorio, es conveniente renombrar el
fichero "NTUSER.dat" por "NTUSER.man" que se
halla en el directorio "%userprofile%" una vez hayas
definido un perfil de usuario corporativo. Más info:

Crear un perfil de usuario obligatorio:
http://technet2.microsoft.com/windo...x?mfr=true

2.- Por fortuna/desgracia, NO se puede ocultar el menú
inicio por GPO, pero sí es cierto que se puede limitar y
mucho los accesos del mismo, así como del escritorio
y del propio SO. Como es un tanto complejo aplicar de
forma correcta las directivas necesarias para tu escenario,
Microsoft® tiene desarrolladas varias plantillas de seguridad
preconfiguradas para aplicar según qué escenarios. Quizá
alguna de ellas pueda ser de utilidad. Más info y descargas:

Descarga de plantillas de seguridad:
http://www.microsoft.com/downloads/...x?FamilyIdŠ2643C1-0685-4D89-B655-521EA6C7B4DB&displaylang=en

Resumen de configuración de plantillas de seguridad:
http://www.microsoft.com/spain/tech...gapxc.mspx

Por lo demás, personalmente considero mucho más efectivo
usar la herramienta de redirección de carpetas para "Mis
documentos", "Escritorio" y "Menú inicio" que en combinación
con el perfil obligatorio y la directiva de "Sistema de archivos"
(que impide la opción de escritura en TODOS los directorios
salvo el que se especifique -preferentemente "Temp" del SO-)
salvando la asignación de privilegio de usuario/invitado del
dominio) hace que a priori, el sistema esté lo bastante bloqueado
como para que un usuario no pueda modificarlo. Ahora bien,
nunca hay que subestimarlos. Resulta mucho más efectiva la
llamada "Ingeniería social" que las restricciones que puedas colocar
en la red corporativa. Más info:

Redirección de carpetas:
http://technet2.microsoft.com/windo...x?mfr=true

Sistema de archivos:
Haz una búsqueda en la ayuda del MMC de tu sistema con la
expresión "Sistema de acrchivos (opción de directiva)"

Guías de políticas de seguridad:
http://www.microsoft.com/spain/tech...icies.mspx
·
Ya nos contarás cómo te ha ido...
==> Desiderio Ondo | Ing. en Informática.
Certificado ITIL | MCSE MS-w2K3.
http://pantuflo.escet.urjc.es/~desitech


"Daniel Ríos" wrote:

Puedes aplicar permisos de solo lectura sobre %username% de Documents And
Settings, pero una directiva de esas características no existe.
Puedes también, mediante directivas, limitar e impedir el acceso a menú
Inicio, Panel de Control, Mi PC, etc.
De esa forma, los puedes limintar a que en su escritorio únicamente
tengan
una unidad de red y Mis Documentos

Daniel Ríos



"gk79" escribió en el mensaje
news:
Buenas!

Sabéis cómo podría "obligar" a los usuarios del dominio a que cada vez
que guarden un fichero lo tengan que hace en una unidad de red, o como
mucho en la carpeta Mis documentos? El servidor es un sbs 2003 r2.

Gracias!