Restriccion usuarios

Hola Fernando,gacias.
En asignación de derechos de usuario/denegar el inicio de
sesion localmente, lo que hace es negar el acceso a la red
de los usuarios que yo añada. ¿Como hago para
decirle "excepto usuario1,usuario2,usuario3"
Saludos.

Efectivamente, ahi esta
Saludos
"Robert Ricard" wrote in message
news:01d001c3a7ae$7de518a0$
Gracias Fernando.
He creado una OU y he creado una politica sobre esa
maquina, pero no he sabido filtrar los que tienen permiso
para conectarse a la red desde este ordenador.
¿Está en directivas locales / asignación de derechos de
usuario?
Lo siento , pero hoy estoy muy espeso.

Te contesto abajo
"Robert Ricard" wrote in message
news:0b1801c3a544$6b4a3390$
Gracias por responder. Ahora que lo repaso quizas no
estaba muy claro. Hay un grupo de usuarios de la red que
solo se pueden logonar en este ordenador. La idea es que
si viene un usuario diferente no pueda conectarse.
1 ¿Tengo que crear localmente los usuarios que sí que
pueden?
no, no tienes que crearlos pues ya estan creados en el AD
2 La politica deny logon localy la puedo ver abriendo el
gpedit?
Si, pero mejor que aplicarlas de manera local te

recomiendo que metas la

maquina en una OU y apliques la politica sobre esa OU

(todo esto desde uno

de los DC del dominio) asi te aseguras que esta politica

será la que se

aplique y no se sobreescribira con una politica del

dominio (las locales son

las que tienen menos preferencia)
Saludos y si tienes dudas cuenta que intentaré explicarme

mejor.

Quizas te sea de utilidad la siguiente herramienta del

kit de recursos

279664 How to Set Logon User Rights with the Ntrights.exe

Utility

http://support.microsoft.com/?id'9664

cosas que te puedes encontrar por el camino...
285793 Error Message: The Local Policy of This System

Does Not Permit You to

http://support.microsoft.com/?id(5793

Saludos

Este mensaje se proporciona "como está" sin garantías de

ninguna clase, y no

otorga ningún derecho.

hola!
Si te refieres a que en ese ordenador nadie mas que los

usuarios que tu

definas puedan hacer logon (pero se puedan conectar

desde

otro ordenador a

un share en el mismo) puedes hacerlo mediante la

politica

deny logon localy

Saludos

Este mensaje se proporciona "como está" sin garantías de

ninguna clase, y no

otorga ningún derecho.


"Robert Ricard"

wrote in message

news:08fd01c3a519$a5efd6b0$
Hola a todos.
Tenemos una red con 2000 server y directorio activo. Hay
un grupo especial y hemos limitado que estos usuarios

solo

se conecten a un ordenador determinado. Pero ¿se puede
hacer que en este ordenador no se pueda conectar nadie

mas

que estos usuarios especiales?
Gracias anticipadas.


.

.

.

DEspues de pegarme durante un buen rato encontre lo que necesitas (creo)
Entra en Active directory users and computers, entra en las propiedades de
los usuarios en cuestion, en la pestaña "account" entra en "log on to" aqui
podras definir la/las maquina/as en la que el usuario pueden hacer
logon.hazlo para cada uno de tus usarios especiales indicando que solo
puedan hacer logon en la maquina en cuestion.

Para que ningun otro usuario pueda hacer logon en esta maquina(que no se si
lo necesitas) mete esa maquina en una OU para ella sola, aplica el
denylogonlocally a todos los usuarios (usa everyone) y siguiendo el
procedimiento del articulo
816100 HOW TO: Prevent Domain Group Policies from Applying to Administrator
http://support.microsoft.com/?id6100

modifica las ACL de la politica de manera que tus usuarios especiales no
tengan permiso para ver la politica y por tanto puedan hacer logon en la
maquina tal y como veniamos buscando

Pruebalo y me dices que tal.
Un saludo
Fernando

Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no
otorga ningún derecho.



"Robert Ricard" wrote in message
news:0a7b01c3a849$8ace22f0$
Hola Fernando,gacias.
En asignación de derechos de usuario/denegar el inicio de
sesion localmente, lo que hace es negar el acceso a la red
de los usuarios que yo añada. ¿Como hago para
decirle "excepto usuario1,usuario2,usuario3"
Saludos.

Efectivamente, ahi esta
Saludos
"Robert Ricard" wrote in message
news:01d001c3a7ae$7de518a0$
Gracias Fernando.
He creado una OU y he creado una politica sobre esa
maquina, pero no he sabido filtrar los que tienen permiso
para conectarse a la red desde este ordenador.
¿Está en directivas locales / asignación de derechos de
usuario?
Lo siento , pero hoy estoy muy espeso.

Te contesto abajo
"Robert Ricard" wrote in message
news:0b1801c3a544$6b4a3390$
Gracias por responder. Ahora que lo repaso quizas no
estaba muy claro. Hay un grupo de usuarios de la red que
solo se pueden logonar en este ordenador. La idea es que
si viene un usuario diferente no pueda conectarse.
1 ¿Tengo que crear localmente los usuarios que sí que
pueden?
no, no tienes que crearlos pues ya estan creados en el AD
2 La politica deny logon localy la puedo ver abriendo el
gpedit?
Si, pero mejor que aplicarlas de manera local te

recomiendo que metas la

maquina en una OU y apliques la politica sobre esa OU

(todo esto desde uno

de los DC del dominio) asi te aseguras que esta politica

será la que se

aplique y no se sobreescribira con una politica del

dominio (las locales son

las que tienen menos preferencia)
Saludos y si tienes dudas cuenta que intentaré explicarme

mejor.

Quizas te sea de utilidad la siguiente herramienta del

kit de recursos

279664 How to Set Logon User Rights with the Ntrights.exe

Utility

http://support.microsoft.com/?id'9664

cosas que te puedes encontrar por el camino...
285793 Error Message: The Local Policy of This System

Does Not Permit You to

http://support.microsoft.com/?id(5793

Saludos

Este mensaje se proporciona "como está" sin garantías de

ninguna clase, y no

otorga ningún derecho.

hola!
Si te refieres a que en ese ordenador nadie mas que los

usuarios que tu

definas puedan hacer logon (pero se puedan conectar

desde

otro ordenador a

un share en el mismo) puedes hacerlo mediante la

politica

deny logon localy

Saludos

Este mensaje se proporciona "como está" sin garantías de

ninguna clase, y no

otorga ningún derecho.


"Robert Ricard"

wrote in message

news:08fd01c3a519$a5efd6b0$
Hola a todos.
Tenemos una red con 2000 server y directorio activo. Hay
un grupo especial y hemos limitado que estos usuarios

solo

se conecten a un ordenador determinado. Pero ¿se puede
hacer que en este ordenador no se pueda conectar nadie

mas

que estos usuarios especiales?
Gracias anticipadas.


.

.

.

Hola Fernando,

estoy en ello, hasta ahora he conseguido que los usuarios
solo entren en la maquina deseada. Además he creado una OU
para ella sola y he puesto denegar inicio de sesión
localmente a todos, y, segun el articulo, he modificado
los administradores para denegar la aplicación y he
añadido los usuarios a los que no aplicar la directiva de
grupo, pero no consigo que accedan estos, deniega el
acceso a todos, incluido el administrador.
Gracias por todo.

DEspues de pegarme durante un buen rato encontre lo que

necesitas (creo)

Entra en Active directory users and computers, entra en

las propiedades de

los usuarios en cuestion, en la pestaña "account" entra

en "log on to" aqui

podras definir la/las maquina/as en la que el usuario

pueden hacer

logon.hazlo para cada uno de tus usarios especiales

indicando que solo

puedan hacer logon en la maquina en cuestion.

Para que ningun otro usuario pueda hacer logon en esta

maquina(que no se si

lo necesitas) mete esa maquina en una OU para ella sola,

aplica el

denylogonlocally a todos los usuarios (usa everyone) y

siguiendo el

procedimiento del articulo
816100 HOW TO: Prevent Domain Group Policies from

Applying to Administrator

http://support.microsoft.com/?id6100

modifica las ACL de la politica de manera que tus

usuarios especiales no

tengan permiso para ver la politica y por tanto puedan

hacer logon en la

maquina tal y como veniamos buscando

Pruebalo y me dices que tal.
Un saludo
Fernando

Este mensaje se proporciona "como está" sin garantías de

ninguna clase, y no

otorga ningún derecho.



"Robert Ricard" wrote in message
news:0a7b01c3a849$8ace22f0$
Hola Fernando,gacias.
En asignación de derechos de usuario/denegar el inicio de
sesion localmente, lo que hace es negar el acceso a la red
de los usuarios que yo añada. ¿Como hago para
decirle "excepto usuario1,usuario2,usuario3"
Saludos.

Efectivamente, ahi esta
Saludos
"Robert Ricard" wrote in message
news:01d001c3a7ae$7de518a0$
Gracias Fernando.
He creado una OU y he creado una politica sobre esa
maquina, pero no he sabido filtrar los que tienen permiso
para conectarse a la red desde este ordenador.
¿Está en directivas locales / asignación de derechos de
usuario?
Lo siento , pero hoy estoy muy espeso.

Te contesto abajo
"Robert Ricard" wrote in

message

news:0b1801c3a544$6b4a3390$
Gracias por responder. Ahora que lo repaso quizas no
estaba muy claro. Hay un grupo de usuarios de la red que
solo se pueden logonar en este ordenador. La idea es que
si viene un usuario diferente no pueda conectarse.
1 ¿Tengo que crear localmente los usuarios que sí que
pueden?
no, no tienes que crearlos pues ya estan creados en el

AD

2 La politica deny logon localy la puedo ver abriendo el
gpedit?
Si, pero mejor que aplicarlas de manera local te

recomiendo que metas la

maquina en una OU y apliques la politica sobre esa OU

(todo esto desde uno

de los DC del dominio) asi te aseguras que esta politica

será la que se

aplique y no se sobreescribira con una politica del

dominio (las locales son

las que tienen menos preferencia)
Saludos y si tienes dudas cuenta que intentaré

explicarme

mejor.

Quizas te sea de utilidad la siguiente herramienta del

kit de recursos

279664 How to Set Logon User Rights with the

Ntrights.exe

Utility

http://support.microsoft.com/?id'9664

cosas que te puedes encontrar por el camino...
285793 Error Message: The Local Policy of This System

Does Not Permit You to

http://support.microsoft.com/?id(5793

Saludos

Este mensaje se proporciona "como está" sin garantías de

ninguna clase, y no

otorga ningún derecho.

hola!
Si te refieres a que en ese ordenador nadie mas que los

usuarios que tu

definas puedan hacer logon (pero se puedan conectar

desde

otro ordenador a

un share en el mismo) puedes hacerlo mediante la

politica

deny logon localy

Saludos

Este mensaje se proporciona "como está" sin garantías

de

ninguna clase, y no

otorga ningún derecho.


"Robert Ricard"

wrote in message

news:08fd01c3a519$a5efd6b0$
Hola a todos.
Tenemos una red con 2000 server y directorio activo.

Hay

un grupo especial y hemos limitado que estos usuarios

solo

se conecten a un ordenador determinado. Pero ¿se puede
hacer que en este ordenador no se pueda conectar nadie

mas

que estos usuarios especiales?
Gracias anticipadas.


.

.

.

.

Hola Robert

He estado haciendo unas pruebas y tienes razon, el metodo que te indiqué no
es valido puesto que las credenciales que se utilizan en este caso para leer
la GPO son las de la maquina y no las de el usuario (logico, antes de hacer
logon no sabemos quien va a ser el usuario!!) (por cierto dejalo como estaba
, es decir cargate la politica que habiamos creado que no creo que nos vaya
a valer)

Mira a ver si puedes usar esta herramienta y mandarme el resultado que vea
como tienes configurado el dominio.

321709 HOW TO: Use the Group Policy Results Tool in Windows 2000

http://support.microsoft.com/?id21709

deberías:

1.- Bajar la herramineta desde
http://www.microsoft.com/windows200...efault.asp

2.- logearte con un usuario cualquiera (nos da igual porque la información
que queremos es sobre la maquina) en la maquina que queremos "securizar" y
escribir el comando gpresult /c > results.txt y mandar el results.txt a ver
que nos cuenta.

En este momento dudo entre 2 posibilidades

1.- Que no tengas definido el logon locally en ninguna politica a ningun
nivel (local,site,dominio,OUs) con lo que la solución deberia ser: Logearse
en la maquina,ejecutar gpedit.msc y añadir a los usuarios que quieres que se
puedan logear (con esto debería bastar para que los demas no pudieran)

2.- Que tengas alguna politica definida al respecto que tendríamos que
sobreescribir ya veremos como dependiendo de donde este y de cual sea si la
deny o la allow

3.- Que no tenga ni idea de lo que te esta pasando ;-)

Quizas deberias probar antes de nada la opción uno que es la más probable
(vamos que casi seguro que es esta) y muy sencilla de probar.

Bueno, a ver que tal...

Espero tu respuesta

Saludos

Fernando
Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no
otorga ningún derecho.


"Robert Ricard" wrote in message
news:206a01c3a90e$0b5df890$
Hola Fernando,

estoy en ello, hasta ahora he conseguido que los usuarios
solo entren en la maquina deseada. Además he creado una OU
para ella sola y he puesto denegar inicio de sesión
localmente a todos, y, segun el articulo, he modificado
los administradores para denegar la aplicación y he
añadido los usuarios a los que no aplicar la directiva de
grupo, pero no consigo que accedan estos, deniega el
acceso a todos, incluido el administrador.
Gracias por todo.

DEspues de pegarme durante un buen rato encontre lo que

necesitas (creo)

Entra en Active directory users and computers, entra en

las propiedades de

los usuarios en cuestion, en la pestaña "account" entra

en "log on to" aqui

podras definir la/las maquina/as en la que el usuario

pueden hacer

logon.hazlo para cada uno de tus usarios especiales

indicando que solo

puedan hacer logon en la maquina en cuestion.

Para que ningun otro usuario pueda hacer logon en esta

maquina(que no se si

lo necesitas) mete esa maquina en una OU para ella sola,

aplica el

denylogonlocally a todos los usuarios (usa everyone) y

siguiendo el

procedimiento del articulo
816100 HOW TO: Prevent Domain Group Policies from

Applying to Administrator

http://support.microsoft.com/?id6100

modifica las ACL de la politica de manera que tus

usuarios especiales no

tengan permiso para ver la politica y por tanto puedan

hacer logon en la

maquina tal y como veniamos buscando

Pruebalo y me dices que tal.
Un saludo
Fernando

Este mensaje se proporciona "como está" sin garantías de

ninguna clase, y no

otorga ningún derecho.



"Robert Ricard" wrote in message
news:0a7b01c3a849$8ace22f0$
Hola Fernando,gacias.
En asignación de derechos de usuario/denegar el inicio de
sesion localmente, lo que hace es negar el acceso a la red
de los usuarios que yo añada. ¿Como hago para
decirle "excepto usuario1,usuario2,usuario3"
Saludos.

Efectivamente, ahi esta
Saludos
"Robert Ricard" wrote in message
news:01d001c3a7ae$7de518a0$
Gracias Fernando.
He creado una OU y he creado una politica sobre esa
maquina, pero no he sabido filtrar los que tienen permiso
para conectarse a la red desde este ordenador.
¿Está en directivas locales / asignación de derechos de
usuario?
Lo siento , pero hoy estoy muy espeso.

Te contesto abajo
"Robert Ricard" wrote in

message

news:0b1801c3a544$6b4a3390$
Gracias por responder. Ahora que lo repaso quizas no
estaba muy claro. Hay un grupo de usuarios de la red que
solo se pueden logonar en este ordenador. La idea es que
si viene un usuario diferente no pueda conectarse.
1 ¿Tengo que crear localmente los usuarios que sí que
pueden?
no, no tienes que crearlos pues ya estan creados en el

AD

2 La politica deny logon localy la puedo ver abriendo el
gpedit?
Si, pero mejor que aplicarlas de manera local te

recomiendo que metas la

maquina en una OU y apliques la politica sobre esa OU

(todo esto desde uno

de los DC del dominio) asi te aseguras que esta politica

será la que se

aplique y no se sobreescribira con una politica del

dominio (las locales son

las que tienen menos preferencia)
Saludos y si tienes dudas cuenta que intentaré

explicarme

mejor.

Quizas te sea de utilidad la siguiente herramienta del

kit de recursos

279664 How to Set Logon User Rights with the

Ntrights.exe

Utility

http://support.microsoft.com/?id'9664

cosas que te puedes encontrar por el camino...
285793 Error Message: The Local Policy of This System

Does Not Permit You to

http://support.microsoft.com/?id(5793

Saludos

Este mensaje se proporciona "como está" sin garantías de

ninguna clase, y no

otorga ningún derecho.

hola!
Si te refieres a que en ese ordenador nadie mas que los

usuarios que tu

definas puedan hacer logon (pero se puedan conectar

desde

otro ordenador a

un share en el mismo) puedes hacerlo mediante la

politica

deny logon localy

Saludos

Este mensaje se proporciona "como está" sin garantías

de

ninguna clase, y no

otorga ningún derecho.


"Robert Ricard"

wrote in message

news:08fd01c3a519$a5efd6b0$
Hola a todos.
Tenemos una red con 2000 server y directorio activo.

Hay

un grupo especial y hemos limitado que estos usuarios

solo

se conecten a un ordenador determinado. Pero ¿se puede
hacer que en este ordenador no se pueda conectar nadie

mas

que estos usuarios especiales?
Gracias anticipadas.


.

.

.

.

Hola Fernando.
Aquí te mando el archivo resultante del gpresult.
Ahora mismo no tengo ninguna politica especial definida,
excepto que en el Default Domain Policy había añadido un
bat para mapear dos unidades, pero está deshabilitada,
estoy utilizando los mapeos en directivas locales de las
maquinas, que no sé lo que va mejor.

Saludos


INICIO DEL MENSAJE results.txt =
Microsoft (R) Windows (R) 2000 Operating System Group
Policy Result tool
Copyright (C) Microsoft Corp. 1981-1999


Created on miércoles, 12 de noviembre de 2003 at 17:52:13
Operating System Information:

Operating System Type: Professional
Operating System Version: 5.0.2195.Service Pack 4
Terminal Server Mode: Not supported

###########################################################

Computer Group Policy results for:

CN=ORDENADOR1,CN=Computers,DC=dominio,DC=es

Domain Name: DOMINIO_NT
Domain Type: Windows 2000
Site Name: Nombre-predeterminado-primer-sitio


The computer is a member of the following security groups:

BUILTIN\Administradores
\Todos
BUILTIN\Usuarios
NT AUTHORITY\NETWORK
NT AUTHORITY\Usuarios autentificados
DOMINIO_NT\ORDENADOR1$
DOMINIO_NT\Equipos del dominio

###########################################################
Last time Group Policy was applied: ported
at 17:11:53
Group Policy was applied from: correo.dominio.es


=

The computer received "Registry" settings from these GPOs:

Directiva de grupo local
Default Domain Policy y mapeo unidades


=The computer received "Security" settings from these GPOs:

Directiva de grupo local
Default Domain Policy y mapeo unidades


=The computer received "EFS recovery" settings from these
GPOs:

Directiva de grupo local
Default Domain Policy y mapeo unidades


FIN ==