restricciones para local admins

Si son administradores locales lo más que podrás hacer es intentar "paliar"
la situación configurando las GPO que necesites a nivel dedominio u OU para
restringirles accesos a donde consideres que no deben acceder.

Evidentemente, podrán acceder localmente al equipo y modificar todo lo que
les venga en gana, por lo que en esos casos GPOs que pueden ser
interesantes:

Description of Group Policy Restricted Groups

http://support.microsoft.com/defaul...-us;279301



HOW TO: Use Restricted Groups in Windows 2000

http://support.microsoft.com/defaul...-us;228496

HOW TO: Restrict Group Membership By Using Group Policy in Windows 2000

http://support.microsoft.com/defaul...-us;320045

Lista de dominios/Domain List - How to restrict use of a computer to one
domain user only

http://support.microsoft.com/kb/555317/en-us



How to change default logon domain name in the logon screen

http://support.microsoft.com/kb/555050/en-us



How can I hide the drop-down list of domains that appears on the logon
screen of Windows XP and later machines?

http://www.windowsitpro.com/Article....html?Ad=1



How can I use Group Policy to hide the domain drop down list on the Windows
Logon dialog box?

http://www.windowsitpro.com/Article...93256.html



Otra posibilidad es que tengas un entorno de producción en la que no tengan
permisos, y otro entorno de desarrollo que es al que se conectan y puedan
hacer lo que necesiten con más permisos (evidentmeente ambos entornos están
"separados" para que no interfieran en uno u otro); lo malo de esto es que
generalmente requiere más inversión para llevarlo a cabo, pero tienes más
seguridad y estabilidad a cambio
Salu2!!
Javier Inglés
https://mvp.support.microsoft.com/p...B5567431B0
MS MVP, Windows Server-Directory Services




"Luis Falch Rojas" escribió en el mensaje
news:e5jnmj0%

Hola a todos..
Vamos a implementar una instalacion en limpio de un dominio,
aproximadamente
50 usuarios.
Casi todos los equipos son XP. solo un 10 % es Vista
El 90 % de los usuarios son avanzados (desarrolladores/programadores, etc,
etc), y necesitan si o si ser miembros del grupo local de administradores.
Alguien puede darme algunas sugerencias/buenas practicas a realizar o en
cuanto a donde consigo info
acerca de procedimientos para:
- Los usuarios no deben modificar la configuración IP de sus PCs.
- Los usuarios no deben modificar iniciar/detener/pausar servicios.
- En lo posible modificaciones del registro que involucren
red/seguridad/servicios/cuentas de usuarios no podrian realizar
- Cualquier otra sugerencia.

La idea es otorgarle derechos locales a los usuarios sobre sus respectivos
equipos, sin que ellos puedan bloquear anular o modificar cuestiones que
imposibiliten al System Admin de realizar tareas en sus respectivas
PC's...

de antemano gracias por las sugerencias...

Luis F.