Cómo quitar el nombre del último usuario que inició sesión en el equipo con directiva en dominio Active Directory de Windows. Cómo ocultar el resto de usuarios del equipo en la pantalla de bloqueo del equipo. En cumplimiento de las medidas de seguridad del ENS, en un dominio Windows Active Directory, es muy recomendable que al iniciar sesión o bien al bloquear el equipo NO aparezca el nombre de usuario ni otros datos. También es recomendable que se obligue a la pulsación de Control + Alt + Suprimir para iniciar sesión y para desbloquear el equipo.
- Requisitos para aplicar directiva de seguridad a equipos de un dominio Windows.
- Modificar directiva existente para quitar los datos del último usuario que inició sesión en el equipo.
- Probar directivas aplicadas en el inicio de sesión y bloqueo de equipo.
Requisitos para aplicar directiva de seguridad a equipos de un dominio Windows
Los equipos de la organización estarán agregados al dominio del Directorio Activo (Active Directory). Será en dicho dominio donde establezcamos las directivas de seguridad que se aplicarán a todos los equipos. De esta forma tendremos centralizada la seguridad de nuestra organización.
En los siguientes artículos explicamos cómo montar un dominio, un servidor Windows Server con el rol de Active Directory:
- Servicios de dominio de Active Directory Windows Server 2012 controlador dominio.
- Instalar Active Directory, promocionar controlador dominio, Windows Server 2008.
Y en este otro artículo explicamos cómo agregar un equipo cliente al dominio:
Modificar directiva existente para quitar los datos del último usuario que inició sesión en el equipo
En el siguiente artículo explicamos cómo agregar una nueva directiva y cómo aplicarla a un grupo de usuarios, a una o varias unidades organizativas y a uno o varios grupos de equipos:
En este caso, a modo de ejemplo, editaremos una directiva existente para agregarle la opción comentada anteriormente, para que elimine los datos del último usuario que inició sesión en el equipo, para que obligue a pulsar Control + Alt + Suprimir para iniciar sesión (o desbloquear el equipo) y para que no aparezcan los nombres del resto de usuarios del equipo en la ventana de inicio de sesión.
Accederemos al controlador de dominio, al equipo servidor con Windows Server, abriremos la Administración de directivas de grupo, que está en Herramientas administrativas:
Desplegaremos el bosque y el dominio donde tengamos la directiva que queramos modificar. Desplegaremos también «Objetos de directiva de grupo». Pulsaremos con el botón derecho del ratón sobre la directiva a editar, en nuestro caso «Directiva_Usuarios» y en el menú emergente elegiremos «Editar…»:
Hay que tener en cuenta que si esta directiva la tenemos aplicada a grupos de usuarios y habilitada, en cuanto hagamos las modificaciones, se irá aplicando a los usuarios de la/s unidad/es organizativa/s y grupos de equipos en los que esté aplicada.
En este caso, todas las directivas se habilitarán desde «Configuración del equipo». Por lo tanto esta directiva debe aplicarse a los equipos (Computers) del Directorio Activo que queramos.
Desplegaremos la rama de «Configuración del equipo» [1], luego la de «Directivas» [2], a continuación la de «Plantillas administrativas…» [3] y por último la de «Sistema» [4]. En la parte derecha tendremos todas las directivas de «Sistema», nosotros habilitaremos las siguientes [4]:
- Evitar que el usuario muestre detalles de la cuenta al iniciar sesión. Habilitaremos esta directiva:
- Desactivar las notificaciones de aplicaciones en la pantalla de bloqueo. Habilitaremos esta directiva:
- No enumerar usuarios conectados en equipos unidos al dominio. Habilitaremos esta directiva:
- Enumerar usuarios locales en equipos unidos al dominio. Habilitaremos esta directiva:
Seguimos con las directivas de seguridad, en este caso las importantes para obligar al usuario a pulsar Control + Alt + Suprimir y para evitar que aparezca el último usuario que inició sesión. Para ello accederemos a «Configuración del equipo» – «Directivas» – «Configuración de Windows» – «Configuración de seguridad» – «Directivas locales» – «Opciones de seguridad». En esta rama, a la derecha, tendremos todas las opciones de Inicio de sesión interactivo, las que nos interesan son:
- Inicio de sesión interactivo: mostrar información de usuario cuando se bloquee la sesión. Marcaremos «Definir esta configuración de directiva» y en el desplegable elegiremos «No mostrar información del usuario»:
- Inicio de sesión interactivo: no mostrar el último nombre de usuario. Marcaremos «Definir esta configuración de directiva» y marcharemos «Habilitada»:
- Inicio de sesión interactivo: no requerir Ctrl+Alt+Supr. Marcaremos «Definir esta configuración de directiva» y marcaremos «Deshabilitada»:
Probar directivas aplicadas en el inicio de sesión y bloqueo de equipo
Una vez establecidas las directivas anteriores, esperaremos unos minutos para que se apliquen en los equipos de los usuarios, o bien forzaremos su aplicación en un equipo cliente para comprobar que funciona correctamente. Para forzar la aplicación de la directiva podemos ejecutar (desde una ventana de Símbolo de sistema), el comando:
gpupdate /force
A continuación comprobaremos que la directiva se está aplicando, en nuestro caso «Directiva_Usuario», con el comando:
gpresult /r
(El comando anterior, para ver la aplicación de las directivas al equipo, tendremos que ejecutarlo como usuario administrador del dominio, abriendo la ventana de Símbolo de sistema como Administrador)
Una vez aplicada la directiva, cerraremos sesión en el equipo cliente y verificaremos que ahora obliga a pulsar Control + Alt + Suprimir para iniciar sesión (o para desbloquear):
Y al plusar Control + Alt + Suprimir no debe aparecer nombre de usuario, lo tendremos que introducir nosotros (por seguridad esta es la opción recomendable):