Crear una GPO para ocultar el nombre del último usuario que inició sesión
Introducción
En las empresas, muchas veces se tienen que hacer tareas repetitivas que se tienen que aplicar a un grupo de empleados o a un grupo de equipos. Esta tarea se incrementa más cuando la empresa es muy grande, ya que no es posible ir a todas las sedes de la compañía. Una solución para poder aplicar ciertas configuraciones a un grupo de equipos o de usuarios, es el uso de GPO.
Las GPOs
Son configuraciones que nos permiten establecer unos parámetros en las máquinas de la empresa, o en los perfiles de los usuarios.
Las GPOs nos permiten cambiar aspectos tales como el fondo de escritorio de los usuarios, mapear unidades de red, hasta cambiar la página de inicio del navegador o establecer el servidor de actualizaciones al que apuntarán los equipos de la compañía.
Estas políticas están divididas en dos secciones: configuración de equipo, y configuración de usuario. Las configuraciones de equipo se aplican sólo a los equipos, independientemente del usuario que haya iniciado sesión en ellas.
De la misma forma, la configuración de usuario se aplicará sólo a los usuarios, da igual donde hayan iniciado sesión. Podemos tener en una OU un equipo, y la cuenta de un usuario estar en otra OU.
La configuración que se le aplicará al equipo será la configuración de equipo de la GPO donde se encuentra el equipo, y la configuración que se le aplicará al usuario, será la configuración de usuario de la OU donde se encuentre el usuario, si es que existiera una.
En este caso, la configuración de usuario de la GPO que se encuentra vinculada a la OU donde está la máquina no se aplicaría, porque la cuenta de usuario no se encuentra en esa OU. Las GPOs deben crearse y vincularse a las OUs donde se encuentren los recursos a los que queremos aplicarles la configuración.
Ocultar la identidad de las personas que inician sesión en las máquinas es una tarea importante, y más aún si se trata de ocultar la identidad del administrador. En muchas ocasiones, un administrador va a tener que iniciar sesión en servidores miembro del dominio para realizar configuraciones.
Un usuario con privilegios elevados puede que se le otorgue autoridad para iniciar sesión en un servidor miembro para realizar cambios.
Si no indicamos lo contrario, el nombre de la cuenta del último usuario que inició sesión aparecerá en la pantalla. Una forma de ocultar la identidad del último usuario que inicio de sesión es mediante una GPO.
Posibles problemas
Como ya mencionamos antes, existen GPOs que se aplican a usuarios y otras a equipos. Para ocultar el último login, se usa una GPO a nivel de configuración de equipo. Si no se tiene en cuenta dónde se está aplicando esta directiva, puede que se vincule a una OU donde no haya equipos, y finalmente no surta efecto.
También puede darse el caso de que esta directiva esté deshabilitada en una GPO de nivel inferior, y sea la que se aplique al final, o que esté en una GPO forzada y se aplique ésta última. En estos casos hay que prestar atención a la jerarquía de GPOs y ver qué configuración tiene cada una y en qué orden se aplican.
Autor/a: Sergio Morón Romero
Curso: Microsoft MCSA Windows Server 2016 + Microsoft MCSE Cloud Platform & Infrastructure
Centro: Tajamar
Año académico: 2017-2018