seguridad en perfiles moviles y obligatorios

Hola, JPF:

Tu consulta es un tanto peliaguda, ya que para lo que necesitas, existen otras
opciones que podrían ser mucho más sencillas que "jugar" con los permisos
de las carpetas contenedoras de los perfiles (que a priori, sus propietarios
predeterminados son los creadores del mismo, a menos que lo modifiques de
forma manual ó por GPO en la ruta "Conf. del equipo => Conf. de Windows =>
Conf. de seguridad => Políticas locales => Op. de seguridad", donde hallarás
una directiva de nombre: "Objetos de sistema: Propietario predeterminado..."
que deberías modificar a "Grupo de Administradores".

Ofreciéndote directamente una respuesta a tu consulta, te recomiendo hagas
al grupo de Admins. del dominio propietario del directorio maestro contenedor
de los perfiles, y te asegures que los grupos de usuarios tengan permisos de
sólo lectura a los directorios. Lo más divertido del tema, es que ANTES de
hacer
toooodo ésto, te recomiendo tengas MUY claro los conceptos de redirección de
carpetas, y las apliques a "Mis docs" (esencial), y "Escritorio",
principalmente...
ya que será una gran ayuda para desmotivar al usuario a "jugar" con lo que has
dicho al server. Más info en:

· Manual de redirección de carpetas (en inglés)
http://www.windowsnetworking.com/ar...-2003.html

· Working with roaming profiles:
http://windowsdevcenter.com/pub/a/w...g_usr.html

A todo ésto, una gran ayuda suele ser el tener que des-habilitar la opción de
"browsear" el entorno de red de los usuarios, ya que como tienen la costumbre
de acceder a los recursos de red mediante el Entorno de red... Para ello,
desde
el editor GPO, accede a "Conf. del usuario => Plantillas admin. => Comp. de
Windows => Explorador de Windows", donde unas directiva de nombres "Sin
equipos próximos en Ubicaciones de red" y "Sin red completa en ubicaciones de
red" merecen ser activadas por tu parte. Los usuarios seguirán teniendo acceso
a sus perfiles de red, pero al menos, ya tienen una complicación "extra" para
llegar hasta ahí. Menos da una piedra...
·
La tecla "borrar" la tienes a mano...
==Desiderio Ondo | Ing. en Informática.
Certificado ITIL | MCSE MS-w2K3.
http://pantuflo.gsyc.es/~desitech


"JPF" wrote:

Hola,
Existe alguna manera de que el usuario el cual tiene un perfil móvil u
obligatorio, no pueda acceder através de la red a la carpeta que contiene su
perfil y que la borre???
Lo digo porque al tener que dar permiso de "modificar" al usuario sobre su
carpeta, éste logicamente podría entrar y eliminarla.
Mkil gracias


.

Muchas gracias por tu ayuda
"Desiderio Ondo." escribió en el
mensaje news:

Hola, JPF:

Tu consulta es un tanto peliaguda, ya que para lo que necesitas, existen
otras
opciones que podrían ser mucho más sencillas que "jugar" con los permisos
de las carpetas contenedoras de los perfiles (que a priori, sus
propietarios
predeterminados son los creadores del mismo, a menos que lo modifiques de
forma manual ó por GPO en la ruta "Conf. del equipo => Conf. de Windows =>
Conf. de seguridad => Políticas locales => Op. de seguridad", donde
hallarás
una directiva de nombre: "Objetos de sistema: Propietario
predeterminado..."
que deberías modificar a "Grupo de Administradores".

Ofreciéndote directamente una respuesta a tu consulta, te recomiendo hagas
al grupo de Admins. del dominio propietario del directorio maestro
contenedor
de los perfiles, y te asegures que los grupos de usuarios tengan permisos
de
sólo lectura a los directorios. Lo más divertido del tema, es que ANTES de
hacer
toooodo ésto, te recomiendo tengas MUY claro los conceptos de redirección
de
carpetas, y las apliques a "Mis docs" (esencial), y "Escritorio",
principalmente...
ya que será una gran ayuda para desmotivar al usuario a "jugar" con lo que
has
dicho al server. Más info en:

· Manual de redirección de carpetas (en inglés):
http://www.windowsnetworking.com/ar...-2003.html

· Working with roaming profiles:
http://windowsdevcenter.com/pub/a/w...g_usr.html

A todo ésto, una gran ayuda suele ser el tener que des-habilitar la opción
de
"browsear" el entorno de red de los usuarios, ya que como tienen la
costumbre
de acceder a los recursos de red mediante el Entorno de red... Para ello,
desde
el editor GPO, accede a "Conf. del usuario => Plantillas admin. => Comp.
de
Windows => Explorador de Windows", donde unas directiva de nombres "Sin
equipos próximos en Ubicaciones de red" y "Sin red completa en ubicaciones
de
red" merecen ser activadas por tu parte. Los usuarios seguirán teniendo
acceso
a sus perfiles de red, pero al menos, ya tienen una complicación "extra"
para
llegar hasta ahí. Menos da una piedra...
·
La tecla "borrar" la tienes a mano...
==> Desiderio Ondo | Ing. en Informática.
Certificado ITIL | MCSE MS-w2K3.
http://pantuflo.gsyc.es/~desitech


"JPF" wrote:

Hola,
Existe alguna manera de que el usuario el cual tiene un perfil móvil u
obligatorio, no pueda acceder através de la red a la carpeta que contiene
su
perfil y que la borre???
Lo digo porque al tener que dar permiso de "modificar" al usuario sobre
su
carpeta, éste logicamente podría entrar y eliminarla.
Mkil gracias


.