Crear una GPO para evitar que aparezca en una ventana de login de un servidor el último usuario que ha iniciado sesión
Creación de una GPO para que no aparezca el Login
Entre muchas medidas de seguridad que tenemos que tener en nuestro CPD y servidores, consiste en evitar que intenten acceder con nuestro usuario o por lo menos que sepan cual es. Normalmente cuando dejamos de usar el servidor, damos a cambiar de usuario o cerrar sesión. Sin darnos cuenta que la cuenta de usuario quedará fijada en el login para la proxima vez que intentemos iniciar sesión
Esto es muy cómodo para los trabajadores, pues no tendrán que volver a escribir su usuario, pero para un administrador puede ser un problema si a alguien le da por curiosear por las instalaciones.
Este tipo de GPO las introdujo microsoft en los equipos cliente a partir de Windows 200 y en los servidores desde Windows 2000 Server
Antes de aplicar la GPO vemos como se muestra la ventana de inicio de usuario, tanto en servidor como en un equipo cliente
Creación de la GPO
La GPO la crearemos desde el controlador de dominio, bien podemos entrar mediante interfaz gráfica al Group Policy Management o también podemos ejecutar en la consola gpmc.msc.
La opción que queremos usar se llama Interactive logon: Do not Display last user name
Esta la podremos encontrar dentro de Computer configuration –>Windows Windows Settings –> Local Policies –> Security Options
Creación filtro WMI
Como la GPO sólo se nos ha especificado que la apliquemos a los servidores de nuestro dominio, ni a los equipos clientes ni a los controladores de domino. Por lo tanto la única solución que tenemos será crear un Filtro WMI
El filtro, lo podemos configurar también en la consola de Group Policy Management, el filtro lo llamaremos igual que la GPO
Para ello hemos creado la siguiente Query:
SELECT * FROM Win32_OperatingSystem WHERE ProductType = «3»
Esto quiere decir que filtramos a todos los equipos en la clase Win32_OperatingSystem, la cual puede tomar 3 valores
- «1»: Son los equipos de escritorio
- «2»: Servidores con función de Controlador de Dominio
- «3»: Servidores miembro (No Controladores de Dominio)
Una vez, creado el filtro lo enlazamos con nuestra GPO
Comprobación del filtro
Una vez tengamos configurada la GPO, utilizaremos un gpudate /force en los servidores y equipos cliente para que actualicen su GPO correspondientes. Esto lo podremos enviar a los usuarios, ya que este comando no requiere de permisos administrativos
Una vez que tenemos eso, ejecutaremos un Gpresult /r para saber si se ha aplicado o no
En el caso de ser un servidor miembro veremos como se ha aplicado
Siendo un servidor también del dominio, pero este es un controlador de Dominio, vemos que no se aplica
Por lo tanto ahora ya no nos mostrará el último usuario que se haya logueado correctamente
Alumno: Pablo Martín Martín
Año académico: 2016/2017
Alumno de Tajamar
Curso académico: MCSE Private Cloud
Twitter: Pablo_martin95
linkedin: Pablo Martín Martín