Discussion:
GPO Para impedir instalacion de software.
(demasiado antiguo para responder)
kike
2006-07-11 18:35:37 UTC
Permalink
Hola a todos.

Tengo un problema.

Creé una GPO par "windows installer" para evitar que los usuarios instalen
software pero esta no restringe, es decir, igual deja a los usuarios
instalar cualquier producto.

Por favor si me pueden ayudar... hay otra forma?, cual es la regla correcta
para impedir instalacion.

Nota: todos los usuarios tienen XP con SP2 y son miembors de un dominio bajo
Windows 2000. Los usuarios son administradores de sus equipos.

Muchas gracias anticipadas.
jparias
2006-07-11 23:43:03 UTC
Permalink
Para restringir a los usuarios la instalación de software:
1- En el equipo local debe haber sólo una cuenta de administrador de la
cual el usuario no sabe la contraseña
2- No debe existir ninguna otra cuenta en el equipo local con permisos de
administrador de la cual el usuario conozca la contraseña.
3- El equipo debe estár en el dominio
4- Las cuentas de usuario están en el servidor de dominio

Con sólo eso debe funcionar sin hacer nada más, incluso, si tu a un equipo
StandAlone das de alta a un usuario con permisos de sólo usuario, no debe
poder instalar nada a menos que le des permisos de administrador.

Saludos.
Post by kike
Hola a todos.
Tengo un problema.
Creé una GPO par "windows installer" para evitar que los usuarios instalen
software pero esta no restringe, es decir, igual deja a los usuarios
instalar cualquier producto.
Por favor si me pueden ayudar... hay otra forma?, cual es la regla correcta
para impedir instalacion.
Nota: todos los usuarios tienen XP con SP2 y son miembors de un dominio bajo
Windows 2000. Los usuarios son administradores de sus equipos.
Muchas gracias anticipadas.
jorge
2006-07-12 10:46:01 UTC
Permalink
respecto a esto, aprovecho...
si por diseño de red, tus usuarios de dominio tienen permiso de
administracion de la maquina, no hay manera de ir creando politicas de
dominio, que capen el hecho de ser admin de la maquina?....o es que hace
falta quitarle esos permisos al usuario del dominio, porque algunas
aplicaciones me fallan por quitarle esos derechos..de ahi que los mantenga
como administradores de la maquina. Esto es porque se metieron en dominio con
posteridad a toda la configuracion del equipo, y ya eran administradores de
la maquina....

gracias...
Post by jparias
1- En el equipo local debe haber sólo una cuenta de administrador de la
cual el usuario no sabe la contraseña
2- No debe existir ninguna otra cuenta en el equipo local con permisos de
administrador de la cual el usuario conozca la contraseña.
3- El equipo debe estár en el dominio
4- Las cuentas de usuario están en el servidor de dominio
Con sólo eso debe funcionar sin hacer nada más, incluso, si tu a un equipo
StandAlone das de alta a un usuario con permisos de sólo usuario, no debe
poder instalar nada a menos que le des permisos de administrador.
Saludos.
Post by kike
Hola a todos.
Tengo un problema.
Creé una GPO par "windows installer" para evitar que los usuarios instalen
software pero esta no restringe, es decir, igual deja a los usuarios
instalar cualquier producto.
Por favor si me pueden ayudar... hay otra forma?, cual es la regla
correcta
Post by kike
para impedir instalacion.
Nota: todos los usuarios tienen XP con SP2 y son miembors de un dominio
bajo
Post by kike
Windows 2000. Los usuarios son administradores de sus equipos.
Muchas gracias anticipadas.
kike
2006-07-12 12:49:20 UTC
Permalink
Me queda super claro.

Hay forma de quitar el derecho de administracion de la maquina a traves de
alguna politica de grupo o de alguna forma centralizada?

Saludos.
Post by jorge
respecto a esto, aprovecho...
si por diseño de red, tus usuarios de dominio tienen permiso de
administracion de la maquina, no hay manera de ir creando politicas de
dominio, que capen el hecho de ser admin de la maquina?....o es que hace
falta quitarle esos permisos al usuario del dominio, porque algunas
aplicaciones me fallan por quitarle esos derechos..de ahi que los mantenga
como administradores de la maquina. Esto es porque se metieron en dominio con
posteridad a toda la configuracion del equipo, y ya eran administradores de
la maquina....
gracias...
Post by jparias
1- En el equipo local debe haber sólo una cuenta de administrador de la
cual el usuario no sabe la contraseña
2- No debe existir ninguna otra cuenta en el equipo local con permisos de
administrador de la cual el usuario conozca la contraseña.
3- El equipo debe estár en el dominio
4- Las cuentas de usuario están en el servidor de dominio
Con sólo eso debe funcionar sin hacer nada más, incluso, si tu a un equipo
StandAlone das de alta a un usuario con permisos de sólo usuario, no debe
poder instalar nada a menos que le des permisos de administrador.
Saludos.
Post by kike
Hola a todos.
Tengo un problema.
Creé una GPO par "windows installer" para evitar que los usuarios instalen
software pero esta no restringe, es decir, igual deja a los usuarios
instalar cualquier producto.
Por favor si me pueden ayudar... hay otra forma?, cual es la regla
correcta
Post by kike
para impedir instalacion.
Nota: todos los usuarios tienen XP con SP2 y son miembors de un dominio
bajo
Post by kike
Windows 2000. Los usuarios son administradores de sus equipos.
Muchas gracias anticipadas.
jparias
2006-07-12 15:29:16 UTC
Permalink
No por política hasta donde yo sé, pero desde el Active Directory Users and
Computers en el contenedor de computadoras, haces click con boton derecho
sobre un equipo y seleccionas administrar, entonces te aparecerá la ventana
típica de administración donde puedes configurar las cuentas de usuario
locales del equipo.

Espero te sea de utilidad.

Saludos.
Post by kike
Me queda super claro.
Hay forma de quitar el derecho de administracion de la maquina a traves de
alguna politica de grupo o de alguna forma centralizada?
Saludos.
Post by jorge
respecto a esto, aprovecho...
si por diseño de red, tus usuarios de dominio tienen permiso de
administracion de la maquina, no hay manera de ir creando politicas de
dominio, que capen el hecho de ser admin de la maquina?....o es que hace
falta quitarle esos permisos al usuario del dominio, porque algunas
aplicaciones me fallan por quitarle esos derechos..de ahi que los mantenga
como administradores de la maquina. Esto es porque se metieron en
dominio
Post by kike
Post by jorge
con
posteridad a toda la configuracion del equipo, y ya eran administradores de
la maquina....
gracias...
Post by jparias
1- En el equipo local debe haber sólo una cuenta de administrador de la
cual el usuario no sabe la contraseña
2- No debe existir ninguna otra cuenta en el equipo local con permisos de
administrador de la cual el usuario conozca la contraseña.
3- El equipo debe estár en el dominio
4- Las cuentas de usuario están en el servidor de dominio
Con sólo eso debe funcionar sin hacer nada más, incluso, si tu a un equipo
StandAlone das de alta a un usuario con permisos de sólo usuario, no debe
poder instalar nada a menos que le des permisos de administrador.
Saludos.
Post by kike
Hola a todos.
Tengo un problema.
Creé una GPO par "windows installer" para evitar que los usuarios instalen
software pero esta no restringe, es decir, igual deja a los usuarios
instalar cualquier producto.
Por favor si me pueden ayudar... hay otra forma?, cual es la regla
correcta
Post by kike
para impedir instalacion.
Nota: todos los usuarios tienen XP con SP2 y son miembors de un dominio
bajo
Post by kike
Windows 2000. Los usuarios son administradores de sus equipos.
Muchas gracias anticipadas.
Rodolfo Parrado Gutiérrez [MVP]
2006-07-16 05:07:55 UTC
Permalink
Revisa el tema de grupos restringidos (asi podras controlar la pertenecia a grupos locales y globarles)
--
Rodolfo Parrado Gutiérrez
https://mvp.support.microsoft.com/profile=EA9074BD-2810-4D32-868A-E09D07FF1244
Bogotá - Colombia
---------------------------------------------------------------------------¬¬-------------------------
MVP Windows Server Security
MCT, MCSE, MCSA, MCDST, MCP+I
---------------------------------------------------------------------------¬¬-------------------------
Este mensaje se proporciona "como está" sin garantías de ninguna índole, y
no otorga ningún derecho.

---------------------------------------------------------------------------¬¬-------------------------
Post by kike
Hola a todos.
Tengo un problema.
Creé una GPO par "windows installer" para evitar que los usuarios instalen
software pero esta no restringe, es decir, igual deja a los usuarios
instalar cualquier producto.
Por favor si me pueden ayudar... hay otra forma?, cual es la regla correcta
para impedir instalacion.
Nota: todos los usuarios tienen XP con SP2 y son miembors de un dominio bajo
Windows 2000. Los usuarios son administradores de sus equipos.
Muchas gracias anticipadas.
Loading...