Cómo negar los administradores de dominio para iniciar sesión localmente en estaciones de trabajo.

Este tutorial contiene instrucciones paso a paso sobre cómo evitar que los administradores de dominios inicien sesión localmente en computadoras unidas por dominio (estaciones de trabajo).

Los administradores de dominio tienen (por defecto) permisos administrativos en cada computadora del dominio. Pero esto aumenta el riesgo de seguridad, porque si se compromete una cuenta de administrador de dominio único, el atacante puede obtener el control de cada máquina en el dominio. Por lo tanto, evitar que los administradores de dominios inicien sesión localmente a computadoras de dominio es la mejor práctica para eliminar este riesgo de seguridad.

* Información: Al no permitir que los administradores de dominios se conecten localmente a las estaciones de trabajo, logra un mayor nivel de seguridad en su red sin eliminar la capacidad de realizar otras tareas administrativas. (por ejemplo, para administrar estaciones de trabajo de "Usuarios y computadoras de Active Directory").

Cómo no permitir que los administradores de dominio inicien sesión localmente en las computadoras de dominio de Active Directory a través de la política de grupo (servidor 2016/2019).

Para evitar que los administradores de dominios inicien sesión localmente a computadoras de dominio:

1. Abierto Gerente de servidor y de la Herramientas menú Abra el Gestión de políticas grupales.

2. En la gestión de políticas grupales, edite la política de dominio predeterminada o -better- Cree una nueva política grupal para todo el dominio o solo para el OU que contiene las computadoras en las que desea negar los administradores de dominio para iniciar sesión localmente.*

* Nota: En este ejemplo, procedemos a no permitir que los administradores de dominio inicie sesión localmente, creando un nuevo GPO en un OU específico llamado "Estaciones de trabajo", que contiene todas las computadoras de dominio donde queremos que se aplique esta política.

3. Haga clic con el botón derecho y seleccionar Cree un GPO en este dominio y vincule aquí ...

4. Nombra el nuevo GPO como "Negar los administradores de dominio para iniciar sesión localmente"Y haga clic DE ACUERDO.

5. Ahora Editar El GPO creado.

6a. Ir a Configuración de computadora > Políticas > Configuración de Windows > Configuración de seguridad > Políticas locales > Asignación de derechos de usuario.

6b. Ahora abierto el Negar el inicio de sesión localmente política.

7. Habilitar (verifique) la opción "Defina esta configuración de política" y luego haga clic en Agregar usuario o grupo.

8a. Haga clic en el Navegar botón.

8b. Tipo "Administradores de dominio " y hacer clic Verifique los nombres.

8c. Luego haga clic DE ACUERDO y DE ACUERDO de nuevo para salvar el cambiar.

9. Finalmente, haga clic Aplicar > DE ACUERDO Para guardar el GPO.

10. Cierre todas las ventanas de administración de políticas grupales.

11. Finalmente, abra el símbolo del sistema como administrador y proporcione el siguiente comando para aplicar los cambios (o reiniciar las estaciones de trabajo):

12. De ahora en adelante, cada vez que un administrador de dominio intenta conectarse localmente a una estación de trabajo, recibirá el error:

"El método de inicio de sesión que está intentando usar no está permitido. Para obtener más información, comuníquese con su administrador de red".

¡Eso es todo! Avíseme si esta guía lo ha ayudado dejando su comentario sobre su experiencia. Por favor, me guste y comparta esta guía para ayudar a otros.

Si este artículo fue útil para usted, considere apoyarnos haciendo una donación. Incluso $ 1 puede hacer una gran diferencia para nosotros En nuestro esfuerzo por continuar ayudando a otros mientras mantiene este sitio gratis:

Konstantinos es el fundador y administrador de wintips.org. Desde 1995 trabaja y brinda soporte de TI como experto en computadora y red para individuos y grandes empresas. Está especializado para resolver problemas relacionados con Windows u otros productos de Microsoft (Windows Server, Office, Microsoft 365, etc.).

Últimas publicaciones de Konstantinos Tsoukalas (Ver todos)