Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
En este artículo se describe cómo restringir el uso de un equipo solo a un usuario de dominio.
Número de KB original: 555317
Este artículo fue escrito por Yuval Sinay, Microsoft MVP.
Síntomas
Al crear conexiones de confianza desde un dominio(bosque) a otro, los usuarios tienen la opción de iniciar sesión en dominios o dominios distintos a su dominio principal (el dominio que hospeda sus cuentas/s).
Causa
Las conexiones de confianza de un dominio a otro o/y un bosque a otro permiten al usuario iniciar sesión en dominios o s diferentes que su dominio principal (el dominio que hospeda sus cuentas/s). El grupo "Usuarios autenticados" de cada equipo permite que los usuarios del dominio de confianza se autentiquen e inicien sesión en el equipo.
Solución
Opción A: Directiva de todo el dominio
Mediante el uso de funcionalidades de directiva de grupo en dominio de Windows 2000/2003, puedes impedir que los usuarios inicien sesión en dominios o dominios diferentes que su dominio principal.
Cree un nuevo GPO para todo el dominio y habilite el derecho de usuario "Denegar inicio de sesión localmente" a la cuenta de usuario de dominio de origen/sIn el dominio de destino.
Nota:
Algunos servicios (como los servicios de software de copia de seguridad) pueden afectar a esta directiva y no funcionarían. Para eliminar problemas futuros, aplique esta directiva y use la característica de filtro de seguridad de GPO.
Denegar inicio de sesión localmente
Filtrado mediante grupos de seguridad
Ejecute en
Gpupdate /force
en el controlador de dominio.
Opción B: Quitar "NT AUTHORITY\Authenticated Users" usa de la lista de usuarios del grupo de usuarios
Para eliminar la opción de iniciar sesión en uno o pocos equipos, siga las instrucciones siguientes:
Haga clic con el botón derecho en el icono "Mi computadora" en el escritorio.
Elija "Administrar".
Extraiga "Usuarios y grupos locales".
Seleccione "Grupos".
En el lado derecho de la pantalla, haga doble clic en el grupo "Usuarios".
Quitar: "NT AUTHORITY\Authenticated Users" de la lista.
Agregue el grupo local require user/s o y group/s al grupo local "Users".
Opción C: Configurar el derecho de usuario "Denegar inicio de sesión localmente" en el equipo local
Para eliminar la opción de iniciar sesión en uno o pocos equipos, siga las instrucciones siguientes:
Vaya a "Inicio" -> "Ejecutar".
Escriba "Gpedit.msc"
Habilite el derecho de usuario "Denegar inicio de sesión localmente" a las cuentas de usuario de dominio de origen.
Nota:
Algunos servicios (como los servicios de software de copia de seguridad) pueden afectar a esta directiva y no funcionarían.
Denegar inicio de sesión localmente
Ejecute
Gpupdate /force
en el equipo local.
Opción D: Usar la autenticación selectiva cuando se usa la confianza de bosque
Creación de confianzas de bosque
Más información
Aviso legal de activación de soluciones de comunidad
Microsoft Corporation o sus proveedores no representan la idoneidad, fiabilidad o precisión de la información y los gráficos relacionados en el presente documento. Toda la información y gráficos relacionados se proporcionan "tal cual" sin garantía de ningún tipo. Por la presente, Microsoft o sus respectivos proveedores renuncian a toda garantía y condición respecto a esta información y los gráficos relacionados, incluidas todas las garantías y condiciones implícitas de comerciabilidad, idoneidad para un propósito particular, esfuerzo profesional, título y ausencia de infracción. Usted acepta específicamente que en ningún caso Microsoft o sus proveedores serán responsables por daños directos, indirectos, punitivos, incidentales, especiales, consecuentes ni ningún daño, incluidos, sin limitación, daños por pérdida de uso, datos o beneficios, que surja de o en cualquier forma relacionada con el uso de o imposibilidad de uso de la información y los gráficos relacionados contenidos en este documento, ya sea basado en contrato, agravio, negligencia, responsabilidad estricta o de otro tipo, incluso si Microsoft o cualquiera de sus proveedores han recibido aviso de la posibilidad de daños.