Compartir a través de

Cómo restringir el uso de un equipo solo a un usuario de dominio

En este artículo se describe cómo restringir el uso de un equipo solo a un usuario de dominio.

Número de KB original: 555317

Este artículo fue escrito por Yuval Sinay, Microsoft MVP.

Síntomas

Al crear conexiones de confianza desde un dominio(bosque) a otro, los usuarios tienen la opción de iniciar sesión en dominios o dominios distintos a su dominio principal (el dominio que hospeda sus cuentas/s).

Causa

Las conexiones de confianza de un dominio a otro o/y un bosque a otro permiten al usuario iniciar sesión en dominios o s diferentes que su dominio principal (el dominio que hospeda sus cuentas/s). El grupo "Usuarios autenticados" de cada equipo permite que los usuarios del dominio de confianza se autentiquen e inicien sesión en el equipo.

Solución

Opción A: Directiva de todo el dominio

Mediante el uso de funcionalidades de directiva de grupo en dominio de Windows 2000/2003, puedes impedir que los usuarios inicien sesión en dominios o dominios diferentes que su dominio principal.

  1. Cree un nuevo GPO para todo el dominio y habilite el derecho de usuario "Denegar inicio de sesión localmente" a la cuenta de usuario de dominio de origen/sIn el dominio de destino.

    Nota:

    Algunos servicios (como los servicios de software de copia de seguridad) pueden afectar a esta directiva y no funcionarían. Para eliminar problemas futuros, aplique esta directiva y use la característica de filtro de seguridad de GPO.

    Denegar inicio de sesión localmente

    Filtrado mediante grupos de seguridad

  2. Ejecute en Gpupdate /force en el controlador de dominio.

Opción B: Quitar "NT AUTHORITY\Authenticated Users" usa de la lista de usuarios del grupo de usuarios

Para eliminar la opción de iniciar sesión en uno o pocos equipos, siga las instrucciones siguientes:

  1. Haga clic con el botón derecho en el icono "Mi computadora" en el escritorio.

  2. Elija "Administrar".

  3. Extraiga "Usuarios y grupos locales".

  4. Seleccione "Grupos".

  5. En el lado derecho de la pantalla, haga doble clic en el grupo "Usuarios".

  6. Quitar: "NT AUTHORITY\Authenticated Users" de la lista.

  7. Agregue el grupo local require user/s o y group/s al grupo local "Users".

Opción C: Configurar el derecho de usuario "Denegar inicio de sesión localmente" en el equipo local

Para eliminar la opción de iniciar sesión en uno o pocos equipos, siga las instrucciones siguientes:

  1. Vaya a "Inicio" -> "Ejecutar".

  2. Escriba "Gpedit.msc"

  3. Habilite el derecho de usuario "Denegar inicio de sesión localmente" a las cuentas de usuario de dominio de origen.

    Nota:

    Algunos servicios (como los servicios de software de copia de seguridad) pueden afectar a esta directiva y no funcionarían.

    Denegar inicio de sesión localmente

  4. Ejecute Gpupdate /force en el equipo local.

Opción D: Usar la autenticación selectiva cuando se usa la confianza de bosque

Creación de confianzas de bosque

Más información

Aviso legal de activación de soluciones de comunidad

Microsoft Corporation o sus proveedores no representan la idoneidad, fiabilidad o precisión de la información y los gráficos relacionados en el presente documento. Toda la información y gráficos relacionados se proporcionan "tal cual" sin garantía de ningún tipo. Por la presente, Microsoft o sus respectivos proveedores renuncian a toda garantía y condición respecto a esta información y los gráficos relacionados, incluidas todas las garantías y condiciones implícitas de comerciabilidad, idoneidad para un propósito particular, esfuerzo profesional, título y ausencia de infracción. Usted acepta específicamente que en ningún caso Microsoft o sus proveedores serán responsables por daños directos, indirectos, punitivos, incidentales, especiales, consecuentes ni ningún daño, incluidos, sin limitación, daños por pérdida de uso, datos o beneficios, que surja de o en cualquier forma relacionada con el uso de o imposibilidad de uso de la información y los gráficos relacionados contenidos en este documento, ya sea basado en contrato, agravio, negligencia, responsabilidad estricta o de otro tipo, incluso si Microsoft o cualquiera de sus proveedores han recibido aviso de la posibilidad de daños.