Cómo restringir el uso de un equipo solo a un usuario de dominio
En este artículo se describe cómo restringir el uso de un equipo solo a un usuario de dominio.
Se aplica a: Windows Server 2012 R2, Windows 10, todas las ediciones
Número de KB original: 555317
Este artículo fue escrito por Yuval Sinay, MVP de Microsoft.
Síntomas
Al crear conexiones de confianza de un dominio (bosque) a otro, los usuarios tienen la opción de iniciar sesión en dominios o s diferentes de su dominio principal (el dominio que hospeda su cuenta o s).
Causa
Confiar en las conexiones/s de un dominio a otro o/y de un bosque a otro permite al usuario iniciar sesión en dominios o s diferentes de su dominio principal (el dominio que hospeda su cuenta/s). El grupo "Usuarios autenticados" de cada equipo permite que los usuarios del dominio de confianza se autentiquen e inicien sesión en el equipo.
Solución
Opción A: directiva de Domain-Wide
Mediante el uso de funcionalidades de directiva de grupo en el dominio de Windows 2000/2003, puede impedir que los usuarios o s inicien sesión en dominios o s diferentes a su dominio principal.
Cree un nuevo GPO para todo el dominio y habilite el derecho de usuario "Denegar inicio de sesión localmente" a la cuenta de usuario del dominio de origen o sIn el dominio de destino.
Nota:
Algunos servicios (como los servicios de software de Copia de seguridad) pueden afectar a esta directiva y no funcionarán. Para eliminar problemas futuros, aplique esta directiva y use la característica de filtro de seguridad de GPO.
Denegar el inicio de sesión localmente
Filtrar mediante grupos de seguridad
Ejecute en
Gpupdate /force
el controlador de dominio.
Opción B: Quitar los usos de "NT AUTHORITY\Authenticated Users" de la lista de grupos de usuarios
Para eliminar la opción de iniciar sesión en uno o pocos equipos, siga las instrucciones que se indican a continuación:
Haga clic con el botón derecho en el icono "Mi equipo" en el escritorio.
Elija "Administrar".
Extraiga "Usuarios y grupos locales".
Seleccione "Grupos".
En el lado derecho de la pantalla, haga doble clic en el grupo "Usuarios".
Quitar: "NTAUTHORITY\Authenticated Users" de la lista.
Agregue el objeto require user/s o y group/s al grupo local "Users".
Opción C: Configurar el derecho de usuario "Denegar inicio de sesión localmente" en los equipos locales
Para eliminar la opción de iniciar sesión en uno o pocos equipos, siga las instrucciones que se indican a continuación:
Vaya a "Inicio" -> "Ejecutar".
Escriba "Gpedit.msc"
Habilite el derecho de usuario "Denegar inicio de sesión localmente" en las cuentas de usuario de dominio de origen.
Nota:
Algunos servicios (como los servicios de software de Copia de seguridad) pueden afectar a esta directiva y no funcionarán.
Denegar el inicio de sesión localmente
Ejecute
Gpupdate /force
en el equipo local.
Opción D: Usar la autenticación selectiva cuando se usa la confianza del bosque
Creación de confianzas de bosque
Más información
Aviso legal de activación de soluciones de comunidad
Microsoft Corporation o sus proveedores no representan la idoneidad, fiabilidad o precisión de la información y los gráficos relacionados en el presente documento. Toda la información y gráficos relacionados se proporcionan "tal cual" sin garantía de ningún tipo. Por la presente, Microsoft o sus respectivos proveedores renuncian a toda garantía y condición respecto a esta información y los gráficos relacionados, incluidas todas las garantías y condiciones implícitas de comerciabilidad, idoneidad para un propósito particular, esfuerzo profesional, título y ausencia de infracción. Usted acepta específicamente que en ningún caso Microsoft o sus proveedores serán responsables por daños directos, indirectos, punitivos, incidentales, especiales, consecuentes ni ningún daño, incluidos, sin limitación, daños por pérdida de uso, datos o beneficios, que surja de o en cualquier forma relacionada con el uso de o imposibilidad de uso de la información y los gráficos relacionados contenidos en este documento, ya sea basado en contrato, agravio, negligencia, responsabilidad estricta o de otro tipo, incluso si Microsoft o cualquiera de sus proveedores han recibido aviso de la posibilidad de daños.
Comentarios
https://aka.ms/ContentUserFeedback.
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea:Enviar y ver comentarios de