Restricciones de inicio de sesión en la estación de trabajo para usuarios de AD

De forma predeterminada, cuando crea nuevos usuarios de Active Directory, se agregan automáticamente al Usuarios de dominio grupo. A su vez, el grupo de usuarios del dominio se agrega de forma predeterminada al local Usuarios grupo en una estación de trabajo de dominio cuando se une al dominio de AD. Esto significa que cualquier usuario del dominio puede iniciar sesión en cualquier computadora de la red del dominio. En este artículo, consideraremos las principales formas de restringir el inicio de sesión de los usuarios a las computadoras del dominio.

Restricción de la cuenta de usuario para iniciar sesión solo en computadoras AD específicas

En dominios pequeños, puede restringir el inicio de sesión del usuario a las computadoras del dominio en las propiedades de cada cuenta de usuario en Active Directory. Por ejemplo, desea permitir que un usuario específico inicie sesión solo en sus computadoras. Para hacerlo:

  1. Ejecute el complemento ADUC (Usuarios y equipos de Active Directory) ejecutando el comando dsa.msc;
  2. Usando la búsqueda de AD, busque la cuenta de usuario a la que desea restringir el acceso y abra sus propiedades;
  3. Ve a la Cuenta pestaña y haga clic en «Ingrese a» botón. propiedades de la cuenta de usuario del anuncio
  4. Como puede ver, el usuario puede iniciar sesión en todas las computadoras del dominio (el usuario puede iniciar sesión en: Todas las computadoras). Para permitir que un usuario acceda solo a las computadoras específicas, seleccione Las siguientes computadoras opción y agregue los nombres de las computadoras en las que un usuario puede iniciar sesión;propiedad del usuario del anuncio - opción de estaciones de trabajo de inicio de sesiónNota. Debe especificar el nombre completo de la computadora NetBIOS o DNS (no use comodines). El valor no distingue entre mayúsculas y minúsculas.
  5. Puede agregar hasta 64 equipos a esta lista. Si intenta agregar un 65th computadora, aparece el siguiente mensaje de error: This property is limited to 64 values. You must remove some of the existing values before you can add new ones; LogonWorkstations Esta propiedad está limitada a 64 valores
  6. Guarde los cambios. Ahora el usuario está restringido para iniciar sesión solo en las computadoras AD especificadas.

¿Cómo modificar el atributo LogonWorkstations en PowerShell?

Es bastante tedioso restringir el inicio de sesión del usuario a las computadoras del dominio manualmente. Puede automatizar esta acción con PowerShell. La lista de computadoras en las que un usuario puede iniciar sesión se almacena en el atributo de usuario de AD «Estaciones de trabajo”. Por ejemplo, nuestra tarea es permitir que un usuario específico inicie sesión solo en las computadoras, cuyos nombres se enumeran en el archivo de texto computadoras.csv.

El guión puede verse así:

Import-Module ActiveDirectory
$ADusername = ‘asmith’
$complist = Import-Csv -Path "C:PScomputers.csv" | ForEach-Object {$_.NetBIOSName}
$comparray = $complist -join ","
Set-ADUser -Identity $ADusername -LogonWorkstations $comparray
Clear-Variable comparray

secuencia de comandos de PowerShell para restringir las estaciones de trabajo de inicio de sesión de anuncios

Con el cmdlet Get-ADUser, puede mostrar la lista de equipos en los que un usuario puede iniciar sesión.

Get-ADUser $ADusername -Properties LogonWorkstations | Format-List Name, LogonWorkstations

O puede ver la lista de computadoras en la consola ADUC.

restricción de estaciones de trabajo de inicio de sesión en el directorio activo

Para agregar un nuevo nombre de computadora a la lista, use este comando:

$Wks = (Get-ADUser asmith-Properties LogonWorkstations).LogonWorkstations
$Wks += ",man-b2-wks2"
Set-ADUser asmith -LogonWorkstations $Wks

¿Cómo restringir a los usuarios el inicio de sesión en la estación de trabajo AD mediante GPO?

En dominios grandes, no es posible utilizar el atributo de usuario de LogonWorkstations para restringir el acceso de los usuarios a las computadoras debido a algunas limitaciones y la falta de flexibilidad. Por lo general, para evitar que los usuarios inicien sesión en algunas computadoras, se utilizan políticas de grupo.

Puede restringir la lista de usuarios en el grupo local Usuarios usando la política de Grupos restringidos (Configuración de Windows -> Configuración de seguridad), pero consideraremos otra opción.

Hay dos políticas de grupo ubicadas en la sección GPO Configuración de la computadora -> Políticas -> Configuración de seguridad -> Políticas locales -> Asignación de derechos de usuario:

  • Denegar el inicio de sesión localmente – permite restringir el inicio de sesión local a la estación de trabajo para usuarios o grupos específicos;
  • Permitir iniciar sesión localmente : Contiene la lista de usuarios que pueden iniciar sesión en una computadora localmente.

Por ejemplo, para evitar que los usuarios de un grupo en particular inicien sesión en computadoras en cierta OU de Active Directory, puede crear un grupo de usuarios separado, agregarlo al Denegar el inicio de sesión localmente política y vincule la política a la unidad organizativa que contiene los equipos a los que desea restringir el inicio de sesión.

Política de denegación de inicio de sesión local

gpo para denegar la estación de trabajo de inicio de sesión local

En los grandes dominios de AD, puede utilizar una combinación de estas políticas. Por ejemplo, desea impedir que los usuarios inicien sesión en equipos de otras unidades organizativas. Para hacerlo, cree un grupo de seguridad en cada unidad organizativa y agréguele todos los usuarios de la unidad organizativa.

Propina. Los usuarios de la unidad organizativa específica se pueden agregar automáticamente a su grupo de seguridad mediante los cmdlets de PowerShell Get-ADUser y Add-ADGroupMember con la ayuda de la siguiente secuencia de comandos:

Import-module ActiveDirectory
$rootOU = “OU=Users,OU=UK,DC=corp,DC=woshub,DC=com”
$group = “corplon-users”
Get-ADUser -SearchBase $rootOu -Filter * | ForEach-Object {Add-ADGroupMember -Identity $group -Members $_ }

Luego habilite el «Permitir iniciar sesión localmente”, Agregue este grupo (así como diferentes grupos de administradores: administradores de dominio, administradores de estaciones de trabajo, etc.) y asigne la política a la unidad organizativa con las computadoras. Por lo tanto, permitirá que solo los usuarios específicos de OU inicien sesión en las computadoras.

Si un usuario de diferente OU (que no tiene permiso para iniciar sesión localmente) intenta iniciar sesión en la computadora, aparecerá una ventana con el siguiente mensaje:

No puede iniciar sesión porque el método de inicio de sesión que está utilizando no está permitido en esta computadora. Consulte a su administrador de red para obtener más información.

O:

El método de inicio de sesión que está intentando utilizar no está permitido. Para obtener más información, comuníquese con su administrador de red.

El método de inicio de sesión que está intentando utilizar no está permitido. Para obtener más información, comuníquese con su administrador de red.

Aquí hay algunas notas importantes sobre las políticas de restricción de inicio de sesión:

  • No utilice estas políticas para restringir el acceso a los servidores o controladores de dominio de AD;
  • No habilite estas políticas a través de GPO integrados: Política de dominio predeterminada o Política de controladores de dominio predeterminada;
  • Una política restrictiva tiene mayor prioridad;
  • No se olvide de las cuentas de servicio (incluida la gMSA), que se pueden utilizar para ejecutar servicios en computadoras (servidores);
  • No use las políticas que restringen el acceso local a todo el dominio. Vincúlelos solo a las unidades organizativas específicas.

Artículos Interesantes