Cómo restringir el uso de un equipo solo a un usuario de dominio

  • Artículo

En este artículo se describe cómo restringir el uso de un equipo solo a un usuario de dominio.

Se aplica a: Windows Server 2012 R2, Windows 10, todas las ediciones
Número de KB original: 555317

Este artículo fue escrito por Yuval Sinay, MVP de Microsoft.

Síntomas

Al crear conexiones de confianza de un dominio (bosque) a otro, los usuarios tienen la opción de iniciar sesión en dominios o s diferentes de su dominio principal (el dominio que hospeda su cuenta o s).

Causa

Confiar en las conexiones/s de un dominio a otro o/y de un bosque a otro permite al usuario iniciar sesión en dominios o s diferentes de su dominio principal (el dominio que hospeda su cuenta/s). El grupo "Usuarios autenticados" de cada equipo permite que los usuarios del dominio de confianza se autentiquen e inicien sesión en el equipo.

Solución

Opción A: directiva de Domain-Wide

Mediante el uso de funcionalidades de directiva de grupo en el dominio de Windows 2000/2003, puede impedir que los usuarios o s inicien sesión en dominios o s diferentes a su dominio principal.

  1. Cree un nuevo GPO para todo el dominio y habilite el derecho de usuario "Denegar inicio de sesión localmente" a la cuenta de usuario del dominio de origen o sIn el dominio de destino.

    Nota:

    Algunos servicios (como los servicios de software de Copia de seguridad) pueden afectar a esta directiva y no funcionarán. Para eliminar problemas futuros, aplique esta directiva y use la característica de filtro de seguridad de GPO.

    Denegar el inicio de sesión localmente

    Filtrar mediante grupos de seguridad

  2. Ejecute en Gpupdate /force el controlador de dominio.

Opción B: Quitar los usos de "NT AUTHORITY\Authenticated Users" de la lista de grupos de usuarios

Para eliminar la opción de iniciar sesión en uno o pocos equipos, siga las instrucciones que se indican a continuación:

  1. Haga clic con el botón derecho en el icono "Mi equipo" en el escritorio.

  2. Elija "Administrar".

  3. Extraiga "Usuarios y grupos locales".

  4. Seleccione "Grupos".

  5. En el lado derecho de la pantalla, haga doble clic en el grupo "Usuarios".

  6. Quitar: "NTAUTHORITY\Authenticated Users" de la lista.

  7. Agregue el objeto require user/s o y group/s al grupo local "Users".

Opción C: Configurar el derecho de usuario "Denegar inicio de sesión localmente" en los equipos locales

Para eliminar la opción de iniciar sesión en uno o pocos equipos, siga las instrucciones que se indican a continuación:

  1. Vaya a "Inicio" -> "Ejecutar".

  2. Escriba "Gpedit.msc"

  3. Habilite el derecho de usuario "Denegar inicio de sesión localmente" en las cuentas de usuario de dominio de origen.

    Nota:

    Algunos servicios (como los servicios de software de Copia de seguridad) pueden afectar a esta directiva y no funcionarán.

    Denegar el inicio de sesión localmente

  4. Ejecute Gpupdate /force en el equipo local.

Opción D: Usar la autenticación selectiva cuando se usa la confianza del bosque

Creación de confianzas de bosque

Más información

Aviso legal de activación de soluciones de comunidad

Microsoft Corporation o sus proveedores no representan la idoneidad, fiabilidad o precisión de la información y los gráficos relacionados en el presente documento. Toda la información y gráficos relacionados se proporcionan "tal cual" sin garantía de ningún tipo. Por la presente, Microsoft o sus respectivos proveedores renuncian a toda garantía y condición respecto a esta información y los gráficos relacionados, incluidas todas las garantías y condiciones implícitas de comerciabilidad, idoneidad para un propósito particular, esfuerzo profesional, título y ausencia de infracción. Usted acepta específicamente que en ningún caso Microsoft o sus proveedores serán responsables por daños directos, indirectos, punitivos, incidentales, especiales, consecuentes ni ningún daño, incluidos, sin limitación, daños por pérdida de uso, datos o beneficios, que surja de o en cualquier forma relacionada con el uso de o imposibilidad de uso de la información y los gráficos relacionados contenidos en este documento, ya sea basado en contrato, agravio, negligencia, responsabilidad estricta o de otro tipo, incluso si Microsoft o cualquiera de sus proveedores han recibido aviso de la posibilidad de daños.