Impedir que usuarios evadan politicas

No necesitas ejecutar ese comando al iniciar sesión, ya que lo hace por
defecto. Sin embargo, si tienen cuentas de administrador local,
inmediatamente después del inicio, o incluso de un gpupdate posterior,
siempre van a poder saltarse lo que hayas establecido si saben como hacerlo.
La solución pasa por hacer que las cuentas locales que tengan dejen de ser
administradores locales, y eso lo puedes hacer con una GPO del dominio en la
rama "Grupos Restringidos", definiendo el grupo Administradores y poniendo
en el mismo al grupo Admins. del Dominio, al administrador local (si
quieres, y en este caso le cambias la contraseña por la que tú quieras
mediante un script) y en cuanto se aplique la GPO al siguiente inicio de los
clientes sus usuarios locales dejarán de ser administradores de sus
máquinas.


Saludos
José Antonio Quílez
http://msmvps.com/blogs/quilez/



"Andres Eliseo Soncini" escribió en el
mensaje de noticias:OlI#

Hola a todos.

He configurado en nuestra empresa, una politica de diseno standard de
escritorio. Tengo algunos usuarios que por motivos de desarrollo necesitan
ser administradores locales de sus equipos.

Encontre que ellos evadian esta politica modificando el registro, por lo
que denegue el acceso al registro a sus usuarios. Ahora veo que lo han
vuelto a evadir, supongo yo, utilizando alguna cuenta local que ellos
mismos crearon. Tengo tambien configurada la redireccion de mis documentos
con archivos sin conexion. Cuando intento ejecutar gpupdate /force, me da
un mensaje para que vea si quiero cerrar o no la sesion. Quiero ejecutar
el gpupdate /force al inicio de sesion de cada usuario, pero no quiero que
les pregunte acerca de cerrar la sesion todo el tiempo. Hay alguna forma
de omitir esa pregunta o setear una respuesta automatica por si o por no?

Muchas Gracias,
Andres.