Evitar que los usuarios puedan acceder al equipo en forma local

El script si esta en netlogon claro, pero tendria que ser usuario de nivel
avanzado para explorar entre todos los folders...no crees? aparte puedes
ponerlo en un folder distinto no debe ser a fuerza en el folder que creas al
momento de generar una politicaaparte cuantos usuarios saben eso?? enun
ambiente de 1,000 usuarios cuantos sabran? muy bajo el porcentaje..

Y acerca de las credenciales estoy de acuerdo, por eso primero te aseguras
que se cambie el password, claro que al script le puedes poner una salida
de texto donde te informe que usuario ya cambio su password...

Y claro que si la politica es aplicada a un grupo pues a los usuarios que ya
les cambio el password local ahora los insertas en el grupo de la politica
que los ha de sacar del grupos admins locales y agregar al grupo de usuarios
avanzados y este script si se corre con una cuenta domain admin que va
dentro del script porque logicamente el usuario ya no es administrador.

"Ramon Jiménez" wrote in message
news:

¿y qué impide que el usuario lea este script y conozca el Password??

Porque como cualquier script de Inicio de Sesión, está ubicado en el
recurso Netlogon y el usuario tiene permiso de lectura

Ramon Jimenez


"Juan Manuel Olazaran Gonzalez" wrote in
message news:

Te paso una solucion que yo aplique en mi ambiente AD , una vez que el
usuario esta logged en el dominio aplicas un script de inicio de sesion
por politicas que cambie el password de la cuenta local que desees en
este caso la de administrator (ya sea a los authenticated users o a un
grupo en especifico) , tu defines el password que tendran todos los
admins locales en cada equipo y listo...para evitar a los usuarios
habilidosos (un poco) puedes aplicar otro script que retire del grupo
administrators la cuenta de dominio y lo agregue a usuarios avanzados y
verifiques que los avanzados no puedan cambiar passwords
localmente...como veras hay varias consideraciones qu epuedes tomar , la
ventaja es que por politicas y scripting puedes evitarte mucho trabajo
manual.

te paso el script para cambiar el password local.
strComputer = "."
Set objUser = GetObject("WinNT://" & strComputer & "/Administrador,
user")
objUser.SetPassword "newpass"
objUser.SetInfo

Falta el script que saque al usuario del grupo adminsitrators y lo
inserte dentro avanzados, si te interesa me dices para hacer una busqueda
en mis files...

espero te sirvan mis comentarios...saludos!

JuanM Olazaran
MCP, MCSA, MCSE 2K, 2K3


"Guillermo Delprato [MS-MVP]"
wrote in message
news:e$

NO, que es muy arriesgado hacerlo así desde un principio
Basta con que se *deshabiliten* las cuentas de usuario.
Luego, si pasado un tiempo, no los necesita, entonces sí los borra.
El tema es que seguramente va a tener que copiar perfiles ;-)

Guillermo Delprato
MVP - MCT - MCSE
Buenos Aires, Argentina

Este mensaje se proporciona "como está" sin garantías de ninguna clase,
y no otorga ningún derecho. Ud. asume los riesgos
This posting is provided "AS IS" with no warranties, and confer no
rights. You assume
all risk for your use.



"msnews.microsoft.com" wrote in message
news:

tenes que ingresar en cada pc con el admin local o admin del dominio y
en Administrar de mi pc (con boton derecho), en usuario elimina los
usuarios locales.

es decir, localmente a las pc (windows NT, 2000, xp, vista), solo debe
quedar un usuario que es el Administrador, el resto de los usuarios no
debe existir, de esa manera solo pueden ingresar con la cuenta de la
red.
Otra cosa, en las propiedades tenes que agregar a las pcs al dominio.

saludos



"José Donoso" escribió en el mensaje
news:eSda%

Estoy montando un Dominio, actualmente los usuarios tienen cuentas
locales para acceder a estos.
He creado cuentas para cada uno de ellos en Active Directory, ahora
quiero que cuando accedan al dominio ya no puedan acceder como
usuarios locales ya que estas cuentas pueden instalar programas.

¿Como puedo hacer esto?

Atte.
JDM

Un usuario normal podría acceder a Netlogon muy facilmente y leer el
contenido del script.

En mi empresa no hacemos eso porque lo consideramos una brecha muy
importante de seguridad. Y de entre 65k empleados seguro que hay muchos que
querrían tener derechos administativos o entrar con usuarios locales,lo que
está prohibido por politica de empressa y tecnicamente

A mi lo que propones no me gusta...pero es solo mi opinion

Ramon Jimenez


"Juan Manuel Olazaran Gonzalez" wrote in
message news:

El script si esta en netlogon claro, pero tendria que ser usuario de
nivel avanzado para explorar entre todos los folders...no crees? aparte
puedes ponerlo en un folder distinto no debe ser a fuerza en el folder que
creas al momento de generar una politicaaparte cuantos usuarios saben
eso?? enun ambiente de 1,000 usuarios cuantos sabran? muy bajo el
porcentaje..

Y acerca de las credenciales estoy de acuerdo, por eso primero te aseguras
que se cambie el password, claro que al script le puedes poner una salida
de texto donde te informe que usuario ya cambio su password...

Y claro que si la politica es aplicada a un grupo pues a los usuarios que
ya les cambio el password local ahora los insertas en el grupo de la
politica que los ha de sacar del grupos admins locales y agregar al grupo
de usuarios avanzados y este script si se corre con una cuenta domain
admin que va dentro del script porque logicamente el usuario ya no es
administrador.

"Ramon Jiménez" wrote in message
news:

¿y qué impide que el usuario lea este script y conozca el Password??

Porque como cualquier script de Inicio de Sesión, está ubicado en el
recurso Netlogon y el usuario tiene permiso de lectura

Ramon Jimenez


"Juan Manuel Olazaran Gonzalez" wrote in
message news:

Te paso una solucion que yo aplique en mi ambiente AD , una vez que el
usuario esta logged en el dominio aplicas un script de inicio de sesion
por politicas que cambie el password de la cuenta local que desees en
este caso la de administrator (ya sea a los authenticated users o a un
grupo en especifico) , tu defines el password que tendran todos los
admins locales en cada equipo y listo...para evitar a los usuarios
habilidosos (un poco) puedes aplicar otro script que retire del grupo
administrators la cuenta de dominio y lo agregue a usuarios avanzados y
verifiques que los avanzados no puedan cambiar passwords
localmente...como veras hay varias consideraciones qu epuedes tomar , la
ventaja es que por politicas y scripting puedes evitarte mucho trabajo
manual.

te paso el script para cambiar el password local.
strComputer = "."
Set objUser = GetObject("WinNT://" & strComputer & "/Administrador,
user")
objUser.SetPassword "newpass"
objUser.SetInfo

Falta el script que saque al usuario del grupo adminsitrators y lo
inserte dentro avanzados, si te interesa me dices para hacer una
busqueda en mis files...

espero te sirvan mis comentarios...saludos!

JuanM Olazaran
MCP, MCSA, MCSE 2K, 2K3


"Guillermo Delprato [MS-MVP]"
wrote in message
news:e$

NO, que es muy arriesgado hacerlo así desde un principio
Basta con que se *deshabiliten* las cuentas de usuario.
Luego, si pasado un tiempo, no los necesita, entonces sí los borra.
El tema es que seguramente va a tener que copiar perfiles ;-)

Guillermo Delprato
MVP - MCT - MCSE
Buenos Aires, Argentina

Este mensaje se proporciona "como está" sin garantías de ninguna clase,
y no otorga ningún derecho. Ud. asume los riesgos
This posting is provided "AS IS" with no warranties, and confer no
rights. You assume
all risk for your use.



"msnews.microsoft.com" wrote in message
news:

tenes que ingresar en cada pc con el admin local o admin del dominio y
en Administrar de mi pc (con boton derecho), en usuario elimina los
usuarios locales.

es decir, localmente a las pc (windows NT, 2000, xp, vista), solo debe
quedar un usuario que es el Administrador, el resto de los usuarios no
debe existir, de esa manera solo pueden ingresar con la cuenta de la
red.
Otra cosa, en las propiedades tenes que agregar a las pcs al dominio.

saludos



"José Donoso" escribió en el mensaje
news:eSda%

Estoy montando un Dominio, actualmente los usuarios tienen cuentas
locales para acceder a estos.
He creado cuentas para cada uno de ellos en Active Directory, ahora
quiero que cuando accedan al dominio ya no puedan acceder como
usuarios locales ya que estas cuentas pueden instalar programas.

¿Como puedo hacer esto?

Atte.
JDM

Ramon , la idea es dar alternativas de solucion, no son las perfectas ,
sabes que no hay seguridad al 100% lo que se hace es mitigar los riesgos y
si con esta solucion al menos logra su objetivo al 80% ya es un muy buen
avance que solo le tomo unas horas implementar ...ya los huecos que tu
comentas pueden irse solucionando con otras alternativas
logicamente...recuerda que los errores nos dan la experiencia ...nada pierde
probando...esta solucion..ademas de la ke dicto delprato y el otro
socio..que el elija..
"Ramon Jiménez" wrote in message
news:

Un usuario normal podría acceder a Netlogon muy facilmente y leer el
contenido del script.

En mi empresa no hacemos eso porque lo consideramos una brecha muy
importante de seguridad. Y de entre 65k empleados seguro que hay muchos
que querrían tener derechos administativos o entrar con usuarios
locales,lo que está prohibido por politica de empressa y tecnicamente

A mi lo que propones no me gusta...pero es solo mi opinion

Ramon Jimenez


"Juan Manuel Olazaran Gonzalez" wrote in
message news:

El script si esta en netlogon claro, pero tendria que ser usuario de
nivel avanzado para explorar entre todos los folders...no crees? aparte
puedes ponerlo en un folder distinto no debe ser a fuerza en el folder
que creas al momento de generar una politicaaparte cuantos usuarios
saben eso?? enun ambiente de 1,000 usuarios cuantos sabran? muy bajo el
porcentaje..

Y acerca de las credenciales estoy de acuerdo, por eso primero te
aseguras que se cambie el password, claro que al script le puedes poner
una salida de texto donde te informe que usuario ya cambio su password...

Y claro que si la politica es aplicada a un grupo pues a los usuarios que
ya les cambio el password local ahora los insertas en el grupo de la
politica que los ha de sacar del grupos admins locales y agregar al grupo
de usuarios avanzados y este script si se corre con una cuenta domain
admin que va dentro del script porque logicamente el usuario ya no es
administrador.

"Ramon Jiménez" wrote in message
news:

¿y qué impide que el usuario lea este script y conozca el Password??

Porque como cualquier script de Inicio de Sesión, está ubicado en el
recurso Netlogon y el usuario tiene permiso de lectura

Ramon Jimenez


"Juan Manuel Olazaran Gonzalez" wrote in
message news:

Te paso una solucion que yo aplique en mi ambiente AD , una vez que el
usuario esta logged en el dominio aplicas un script de inicio de sesion
por politicas que cambie el password de la cuenta local que desees en
este caso la de administrator (ya sea a los authenticated users o a un
grupo en especifico) , tu defines el password que tendran todos los
admins locales en cada equipo y listo...para evitar a los usuarios
habilidosos (un poco) puedes aplicar otro script que retire del grupo
administrators la cuenta de dominio y lo agregue a usuarios avanzados y
verifiques que los avanzados no puedan cambiar passwords
localmente...como veras hay varias consideraciones qu epuedes tomar ,
la ventaja es que por politicas y scripting puedes evitarte mucho
trabajo manual.

te paso el script para cambiar el password local.
strComputer = "."
Set objUser = GetObject("WinNT://" & strComputer & "/Administrador,
user")
objUser.SetPassword "newpass"
objUser.SetInfo

Falta el script que saque al usuario del grupo adminsitrators y lo
inserte dentro avanzados, si te interesa me dices para hacer una
busqueda en mis files...

espero te sirvan mis comentarios...saludos!

JuanM Olazaran
MCP, MCSA, MCSE 2K, 2K3


"Guillermo Delprato [MS-MVP]"
wrote in message
news:e$

NO, que es muy arriesgado hacerlo así desde un principio
Basta con que se *deshabiliten* las cuentas de usuario.
Luego, si pasado un tiempo, no los necesita, entonces sí los borra.
El tema es que seguramente va a tener que copiar perfiles ;-)

Guillermo Delprato
MVP - MCT - MCSE
Buenos Aires, Argentina

Este mensaje se proporciona "como está" sin garantías de ninguna
clase,
y no otorga ningún derecho. Ud. asume los riesgos
This posting is provided "AS IS" with no warranties, and confer no
rights. You assume
all risk for your use.



"msnews.microsoft.com" wrote in message
news:

tenes que ingresar en cada pc con el admin local o admin del dominio
y en Administrar de mi pc (con boton derecho), en usuario elimina los
usuarios locales.

es decir, localmente a las pc (windows NT, 2000, xp, vista), solo
debe quedar un usuario que es el Administrador, el resto de los
usuarios no debe existir, de esa manera solo pueden ingresar con la
cuenta de la red.
Otra cosa, en las propiedades tenes que agregar a las pcs al dominio.

saludos



"José Donoso" escribió en el mensaje
news:eSda%

Estoy montando un Dominio, actualmente los usuarios tienen cuentas
locales para acceder a estos.
He creado cuentas para cada uno de ellos en Active Directory, ahora
quiero que cuando accedan al dominio ya no puedan acceder como
usuarios locales ya que estas cuentas pueden instalar programas.

¿Como puedo hacer esto?

Atte.
JDM

Si José pregunta cómo hacer para que los usuarios no puedan usar cuentas
locales, dudo que pueda evaluar correctamente los riesgos de seguridad de
las diferentes alternativas (quizás me equivoque...)

Además ¿cuántos usuarios tiene? no lo ha dicho
¿Necesitará hacerlo por script o será más rápido hacerlo manualmente?
Creo que se está complicando un tema muy simple :-DDD
La acotación mía era sólo en referencia que no los borre inmediatamente, por
si alguno dejó datos cifrados

Guillermo Delprato
MVP - MCT - MCSE
Buenos Aires, Argentina

Este mensaje se proporciona "como está" sin garantías de ninguna clase,
y no otorga ningún derecho. Ud. asume los riesgos
This posting is provided "AS IS" with no warranties, and confer no rights.
You assume
all risk for your use.



"Juan Manuel Olazaran Gonzalez" wrote in
message news:

Ramon , la idea es dar alternativas de solucion, no son las perfectas ,
sabes que no hay seguridad al 100% lo que se hace es mitigar los riesgos
y si con esta solucion al menos logra su objetivo al 80% ya es un muy buen
avance que solo le tomo unas horas implementar ...ya los huecos que tu
comentas pueden irse solucionando con otras alternativas
logicamente...recuerda que los errores nos dan la experiencia ...nada
pierde probando...esta solucion..ademas de la ke dicto delprato y el otro
socio..que el elija..
"Ramon Jiménez" wrote in message
news:

Un usuario normal podría acceder a Netlogon muy facilmente y leer el
contenido del script.

En mi empresa no hacemos eso porque lo consideramos una brecha muy
importante de seguridad. Y de entre 65k empleados seguro que hay muchos
que querrían tener derechos administativos o entrar con usuarios
locales,lo que está prohibido por politica de empressa y tecnicamente

A mi lo que propones no me gusta...pero es solo mi opinion

Ramon Jimenez


"Juan Manuel Olazaran Gonzalez" wrote in
message news:

El script si esta en netlogon claro, pero tendria que ser usuario de
nivel avanzado para explorar entre todos los folders...no crees? aparte
puedes ponerlo en un folder distinto no debe ser a fuerza en el folder
que creas al momento de generar una politicaaparte cuantos usuarios
saben eso?? enun ambiente de 1,000 usuarios cuantos sabran? muy bajo el
porcentaje..

Y acerca de las credenciales estoy de acuerdo, por eso primero te
aseguras que se cambie el password, claro que al script le puedes poner
una salida de texto donde te informe que usuario ya cambio su
password...

Y claro que si la politica es aplicada a un grupo pues a los usuarios
que ya les cambio el password local ahora los insertas en el grupo de la
politica que los ha de sacar del grupos admins locales y agregar al
grupo de usuarios avanzados y este script si se corre con una cuenta
domain admin que va dentro del script porque logicamente el usuario ya
no es administrador.

"Ramon Jiménez" wrote in message
news:

¿y qué impide que el usuario lea este script y conozca el Password??

Porque como cualquier script de Inicio de Sesión, está ubicado en el
recurso Netlogon y el usuario tiene permiso de lectura

Ramon Jimenez


"Juan Manuel Olazaran Gonzalez" wrote
in message news:

Te paso una solucion que yo aplique en mi ambiente AD , una vez que el
usuario esta logged en el dominio aplicas un script de inicio de
sesion por politicas que cambie el password de la cuenta local que
desees en este caso la de administrator (ya sea a los authenticated
users o a un grupo en especifico) , tu defines el password que tendran
todos los admins locales en cada equipo y listo...para evitar a los
usuarios habilidosos (un poco) puedes aplicar otro script que retire
del grupo administrators la cuenta de dominio y lo agregue a usuarios
avanzados y verifiques que los avanzados no puedan cambiar passwords
localmente...como veras hay varias consideraciones qu epuedes tomar ,
la ventaja es que por politicas y scripting puedes evitarte mucho
trabajo manual.

te paso el script para cambiar el password local.
strComputer = "."
Set objUser = GetObject("WinNT://" & strComputer & "/Administrador,
user")
objUser.SetPassword "newpass"
objUser.SetInfo

Falta el script que saque al usuario del grupo adminsitrators y lo
inserte dentro avanzados, si te interesa me dices para hacer una
busqueda en mis files...

espero te sirvan mis comentarios...saludos!

JuanM Olazaran
MCP, MCSA, MCSE 2K, 2K3


"Guillermo Delprato [MS-MVP]"
wrote in message
news:e$

NO, que es muy arriesgado hacerlo así desde un principio
Basta con que se *deshabiliten* las cuentas de usuario.
Luego, si pasado un tiempo, no los necesita, entonces sí los borra.
El tema es que seguramente va a tener que copiar perfiles ;-)

Guillermo Delprato
MVP - MCT - MCSE
Buenos Aires, Argentina

Este mensaje se proporciona "como está" sin garantías de ninguna
clase,
y no otorga ningún derecho. Ud. asume los riesgos
This posting is provided "AS IS" with no warranties, and confer no
rights. You assume
all risk for your use.



"msnews.microsoft.com" wrote in message
news:

tenes que ingresar en cada pc con el admin local o admin del dominio
y en Administrar de mi pc (con boton derecho), en usuario elimina
los usuarios locales.

es decir, localmente a las pc (windows NT, 2000, xp, vista), solo
debe quedar un usuario que es el Administrador, el resto de los
usuarios no debe existir, de esa manera solo pueden ingresar con la
cuenta de la red.
Otra cosa, en las propiedades tenes que agregar a las pcs al
dominio.

saludos



"José Donoso" escribió en el mensaje
news:eSda%

Estoy montando un Dominio, actualmente los usuarios tienen cuentas
locales para acceder a estos.
He creado cuentas para cada uno de ellos en Active Directory, ahora
quiero que cuando accedan al dominio ya no puedan acceder como
usuarios locales ya que estas cuentas pueden instalar programas.

¿Como puedo hacer esto?

Atte.
JDM

ok...no te lo tomes como algo personal...no lo pretendía...

Ramon Jimenez


"Juan Manuel Olazaran Gonzalez" wrote in
message news:

Ramon , la idea es dar alternativas de solucion, no son las perfectas ,
sabes que no hay seguridad al 100% lo que se hace es mitigar los riesgos
y si con esta solucion al menos logra su objetivo al 80% ya es un muy buen
avance que solo le tomo unas horas implementar ...ya los huecos que tu
comentas pueden irse solucionando con otras alternativas
logicamente...recuerda que los errores nos dan la experiencia ...nada
pierde probando...esta solucion..ademas de la ke dicto delprato y el otro
socio..que el elija..
"Ramon Jiménez" wrote in message
news:

Un usuario normal podría acceder a Netlogon muy facilmente y leer el
contenido del script.

En mi empresa no hacemos eso porque lo consideramos una brecha muy
importante de seguridad. Y de entre 65k empleados seguro que hay muchos
que querrían tener derechos administativos o entrar con usuarios
locales,lo que está prohibido por politica de empressa y tecnicamente

A mi lo que propones no me gusta...pero es solo mi opinion

Ramon Jimenez


"Juan Manuel Olazaran Gonzalez" wrote in
message news:

El script si esta en netlogon claro, pero tendria que ser usuario de
nivel avanzado para explorar entre todos los folders...no crees? aparte
puedes ponerlo en un folder distinto no debe ser a fuerza en el folder
que creas al momento de generar una politicaaparte cuantos usuarios
saben eso?? enun ambiente de 1,000 usuarios cuantos sabran? muy bajo el
porcentaje..

Y acerca de las credenciales estoy de acuerdo, por eso primero te
aseguras que se cambie el password, claro que al script le puedes poner
una salida de texto donde te informe que usuario ya cambio su
password...

Y claro que si la politica es aplicada a un grupo pues a los usuarios
que ya les cambio el password local ahora los insertas en el grupo de la
politica que los ha de sacar del grupos admins locales y agregar al
grupo de usuarios avanzados y este script si se corre con una cuenta
domain admin que va dentro del script porque logicamente el usuario ya
no es administrador.

"Ramon Jiménez" wrote in message
news:

¿y qué impide que el usuario lea este script y conozca el Password??

Porque como cualquier script de Inicio de Sesión, está ubicado en el
recurso Netlogon y el usuario tiene permiso de lectura

Ramon Jimenez


"Juan Manuel Olazaran Gonzalez" wrote
in message news:

Te paso una solucion que yo aplique en mi ambiente AD , una vez que el
usuario esta logged en el dominio aplicas un script de inicio de
sesion por politicas que cambie el password de la cuenta local que
desees en este caso la de administrator (ya sea a los authenticated
users o a un grupo en especifico) , tu defines el password que tendran
todos los admins locales en cada equipo y listo...para evitar a los
usuarios habilidosos (un poco) puedes aplicar otro script que retire
del grupo administrators la cuenta de dominio y lo agregue a usuarios
avanzados y verifiques que los avanzados no puedan cambiar passwords
localmente...como veras hay varias consideraciones qu epuedes tomar ,
la ventaja es que por politicas y scripting puedes evitarte mucho
trabajo manual.

te paso el script para cambiar el password local.
strComputer = "."
Set objUser = GetObject("WinNT://" & strComputer & "/Administrador,
user")
objUser.SetPassword "newpass"
objUser.SetInfo

Falta el script que saque al usuario del grupo adminsitrators y lo
inserte dentro avanzados, si te interesa me dices para hacer una
busqueda en mis files...

espero te sirvan mis comentarios...saludos!

JuanM Olazaran
MCP, MCSA, MCSE 2K, 2K3


"Guillermo Delprato [MS-MVP]"
wrote in message
news:e$

NO, que es muy arriesgado hacerlo así desde un principio
Basta con que se *deshabiliten* las cuentas de usuario.
Luego, si pasado un tiempo, no los necesita, entonces sí los borra.
El tema es que seguramente va a tener que copiar perfiles ;-)

Guillermo Delprato
MVP - MCT - MCSE
Buenos Aires, Argentina

Este mensaje se proporciona "como está" sin garantías de ninguna
clase,
y no otorga ningún derecho. Ud. asume los riesgos
This posting is provided "AS IS" with no warranties, and confer no
rights. You assume
all risk for your use.



"msnews.microsoft.com" wrote in message
news:

tenes que ingresar en cada pc con el admin local o admin del dominio
y en Administrar de mi pc (con boton derecho), en usuario elimina
los usuarios locales.

es decir, localmente a las pc (windows NT, 2000, xp, vista), solo
debe quedar un usuario que es el Administrador, el resto de los
usuarios no debe existir, de esa manera solo pueden ingresar con la
cuenta de la red.
Otra cosa, en las propiedades tenes que agregar a las pcs al
dominio.

saludos



"José Donoso" escribió en el mensaje
news:eSda%

Estoy montando un Dominio, actualmente los usuarios tienen cuentas
locales para acceder a estos.
He creado cuentas para cada uno de ellos en Active Directory, ahora
quiero que cuando accedan al dominio ya no puedan acceder como
usuarios locales ya que estas cuentas pueden instalar programas.

¿Como puedo hacer esto?

Atte.
JDM