Permisos a Usuarios???

Estando en un dominio es fácil. No dejes que ningún usuario conozca las cuentas de usuario local existentes en sus PCs, y que usen sólo cuentas de usuario del dominio, las cuales por defecto sólo pertenecen al grupo de usuarios restringidos de cada PC (excepto los usuarios que sean administradores del dominio), con lo que no podrán instalar programas, ni modificar la configuración.
Para evitar que borren archivos, tienes que tener mucho cuidado. No te aconsejo que lo hagas a nivel disco completo, en particular si es el disco del sistema, pues puedes hacer que algunas cosas te dejen de funcionar si no lo haces bien. Si lo vas a configurar en una carpeta de datos, ábrela con el explorador y edita sus propiedades. En la pestaña de seguridad, pincha el botón "avanzadas" y verás los usuarios y grupos que tienen permisos sobre esa carpeta. Modifica los usuarios que quieras, y verás que tienes una opción relativa a eliminar carpetas y archivos. Debes tener en cuenta tres cosas: la primera, que aunque no des determinado permiso a un usuario, puede tenerlo indirectamente por pertenencia del mismo a un grupo que sí tenga ese permiso (y todos los usuarios pertenecen al grupo "Todos", hasta el sistema operativo); por otro lado, las denegaciones tienen preferencia sobre cualquier permiso dado, por lo que si deniegas a un determinado grupo cualquier cosa, aunque se lo permitas al usuario o a otro grupo al que pertenezcan, sus usuarios seguirán teniendo denegado ese permiso; por último, si quitas permisos al grupo "Todos", no olvides dárselos al usuario "SYSTEM", si no puedes tener muchos problemas.
Aparte de esto, al estar en un dominio puedes establecer infinidad de cosas mediante el uso de políticas de grupo (también las verás como GPOs), mediante las cuales podrás impedir hacer gran cantidad de cosas a los usuarios, y determinarás cómo funcionarán determinados aspectos de sus equipos.

Saludos

José Antonio Quílez [MS MVP]
Sevilla - España

_________________


"J. Damián Vásquez Ramiro" escribió en el mensaje news:OOc2oOK%

Hola Grupo!! Saludos

Quisiera saber q tipo de permisos debo poner en mis estaciones de trabajo
(Explorador, Propiedades, seguridad ) para q mis usuarios no puedan borrar
archivos , ni tampoco instalar programas y mucho menos modificar la
configuración del equipo, son clientes W2000 y estan en un dominio W2K.

Gracias !!!!

Att. Damián Vasquez

Hola Jose Antonio!!!

Gracias por responder, y te comento q ningun usuario conoce la cuenta local
del Equipo en cuestion, solo las del dominio. Por ese lado vamos bien ,
ahora estoy intentado poner permisos explicitos al grupo de Usuarios de l
Dominio porq por default aparece solo el grupo TODOS y tienen permisos de
control total , lo cual no es recomendable o si???

Si los pongo asi:
Admin del Dominio FULL CONTROL
SYSTEM FULL CONTROL
Administrador (Local) FULL CONTROL
CREATOR OWNER FULL CONTROL
Usuarios del Dominio Lectura, listado de carpetas y ejecucion

Como mencionaste crea algunos problemas con ciertos paquetes instalados!!!!

Ahora bien mencionaste q puedo manejarlo por GPO como y q es lo que debo
hacer para manejarlo asi???

Gracias Nuevamente por tu ayuda!!

Saludos!!

Yo no tocaría la seguridad en el disco, salvo en las carpetas que contengan documentos de los usuarios. En cuanto a las GPO, hay que entrar como administrador del dominio y ejecutar la herramienta de usuarios y equipos de AD. En ella, puedes pinchar con el botón derecho sobre el dominio, o sobre una OU y dentro de sus propiedades verás que hay una pestaña para gestionar las políticas de grupo. Es muy recomendable que antes de aplicarlas a los usuarios te crees una OU de prueba con una cuenta de equipo y otra de usuario dentro de ella para hacer todo tipo de pruebas sobre GPO y tener muy claras las consecuencias de lo que hagas antes de que se aplique a los usuarios.

Saludos

José Antonio Quílez [MS MVP]
Sevilla - España

_________________


"J. Damián Vásquez Ramiro" escribió en el mensaje news:un$Y%23xL%

Hola Jose Antonio!!!

Gracias por responder, y te comento q ningun usuario conoce la cuenta local
del Equipo en cuestion, solo las del dominio. Por ese lado vamos bien ,
ahora estoy intentado poner permisos explicitos al grupo de Usuarios de l
Dominio porq por default aparece solo el grupo TODOS y tienen permisos de
control total , lo cual no es recomendable o si???

Si los pongo asi:
Admin del Dominio FULL CONTROL
SYSTEM FULL CONTROL
Administrador (Local) FULL CONTROL
CREATOR OWNER FULL CONTROL
Usuarios del Dominio Lectura, listado de carpetas y ejecucion

Como mencionaste crea algunos problemas con ciertos paquetes instalados!!!!

Ahora bien mencionaste q puedo manejarlo por GPO como y q es lo que debo
hacer para manejarlo asi???

Gracias Nuevamente por tu ayuda!!

Saludos!!

Ok. Hare las prubas con una OU primero, Y despues al aplicarla q
recomiendas ? meter en ella a todos los usuarios o a un grupo al q
pertenezcan todos los usuarios a los q les quiero aplicar las
restricciones???

Gracias nuevamente!!!!

SAludos!!!

Las GPO se aplican a cuentas de usuario, no a grupos, y también a cuentas de equipo. Es necesario que tanto las cuentas de usuario como de equipo a los que quieras aplicar la GPO estén dentro de la OU a la que aplicas la GPO. Si en una OU tienes muchas cuentas y no quieres que la GPO se aplique a todas ellas, edita las propiedades de seguridad de la GPO y aquí sí puedes especificar grupos a cuyas cuentas se aplicaría o no, pero siempre las cuentas de usuario o equipo deben estar dentro del ámbito de aplicación de la GPO.

Saludos

José Antonio Quílez [MS MVP]
Sevilla - España

_________________


"J. Damián Vásquez Ramiro" escribió en el mensaje news:uJNV%236M%

Ok. Hare las prubas con una OU primero, Y despues al aplicarla q
recomiendas ? meter en ella a todos los usuarios o a un grupo al q
pertenezcan todos los usuarios a los q les quiero aplicar las
restricciones???

Gracias nuevamente!!!!

SAludos!!!