Cómo crear directivas de restricción de software para usuarios de Active Directory

Hace algún tiempo hablamos de las restricciones de los sitios web y cómo hacerlas cumplir sin necesidad de utilizar un proxy. Ahora veremos cómo evitar que los usuarios de Active Directory Domain Services utilicen aplicaciones específicas.

Puede parecer extraño, pero es más fácil limitar el uso de software que de sitios web. Solo tenéis que acceder al controlador de dominio y seguir estos pasos.

Abrid Administrador del servidor y ejecutad Administración de directivas de grupo:

Software Restriction policy for AD Domain Users

Cread un nuevo Objeto de directiva de grupo (GPO):

Software Restriction policy for AD Domain Users

Asignad un nombre al nuevo GPO:

Software Restriction policy for AD Domain Users

Editad la Configuración del equipo:

Software Restriction policy for AD Domain Users

Encontraréis las Directivas de restricción de software en la ruta Configuración del equipo –> Configuración de Windows –> Configuración de seguridad. Cread Nuevas directivas de restricción de software:

Software Restriction policy for AD Domain Users

En Niveles de seguridad podéis configurar los permisos para ejecutar el software predeterminado para el grupo deseado.

Sin restricciones (ajuste por defecto) no limita el software, y Usuario básico permite solo ejecutar aplicaciones que no requieran derechos de administrador. No permitido prohíbe la ejecución del software.

Haced clic con el botón derecho y podréis establecer una nueva configuración predeterminada:

Software Restriction policy for AD Domain Users

Las reglas adicionales son muy importantes para limitar el uso de las aplicaciones. Estas reglas tienen prioridad sobre los ajustes por defecto, por lo que se pueden restringir todas las aplicaciones y crear reglas específicas para permitir solo la ejecución de alguna de ellas, o se puede permitir la ejecución de todas las aplicaciones predeterminadas y limitar las que no se deseen.

Recomendamos utilizar la Regla de ruta de acceso, para limitar o permitir la ejecución de archivos con una ruta específica:

Software Restriction policy for AD Domain Users

En este ejemplo permitiremos la ejecución sin restricciones para Mozilla Firefox.

Podemos usar el parámetro %UserProfile% para crear rutas dinámicas y limitar las aplicaciones instaladas en las carpetas de usuarios:

Software Restriction policy for AD Domain Users

Vuestra directiva está lista. Copiadla y pegadla en el grupo de distribución.

Software Restriction policy for AD Domain Users

La directiva se aplicará:

Software Restriction policy for AD Domain Users

Share: Facebook Twitter Linkedin

Comments