Cómo quitar el nombre del último usuario que inició sesión en el equipo con directiva en dominio Active Directory de Windows. Cómo ocultar el resto de usuarios del equipo en la pantalla de bloqueo del equipo. En cumplimiento de las medidas de seguridad del ENS, en un dominio Windows Active Directory, es muy recomendable que al iniciar sesión o bien al bloquear el equipo NO aparezca el nombre de usuario ni otros datos. También es recomendable que se obligue a la pulsación de Control + Alt + Suprimir para iniciar sesión y para desbloquear el equipo.

Requisitos para aplicar directiva de seguridad a equipos de un dominio Windows

Los equipos de la organización estarán agregados al dominio del Directorio Activo (Active Directory). Será en dicho dominio donde establezcamos las directivas de seguridad que se aplicarán a todos los equipos. De esta forma tendremos centralizada la seguridad de nuestra organización.

En los siguientes artículos explicamos cómo montar un dominio, un servidor Windows Server con el rol de Active Directory:

Y en este otro artículo explicamos cómo agregar un equipo cliente al dominio:

Modificar directiva existente para quitar los datos del último usuario que inició sesión en el equipo

En el siguiente artículo explicamos cómo agregar una nueva directiva y cómo aplicarla a un grupo de usuarios, a una o varias unidades organizativas y a uno o varios grupos de equipos:

En este caso, a modo de ejemplo, editaremos una directiva existente para agregarle la opción comentada anteriormente, para que elimine los datos del último usuario que inició sesión en el equipo, para que obligue a pulsar Control + Alt + Suprimir para iniciar sesión (o desbloquear el equipo) y para que no aparezcan los nombres del resto de usuarios del equipo en la ventana de inicio de sesión.

Accederemos al controlador de dominio, al equipo servidor con Windows Server, abriremos la Administración de directivas de grupo, que está en Herramientas administrativas:

Modificar directiva existente para quitar los datos del último usuario que inició sesión en el equipo

Desplegaremos el bosque y el dominio donde tengamos la directiva que queramos modificar. Desplegaremos también «Objetos de directiva de grupo». Pulsaremos con el botón derecho del ratón sobre la directiva a editar, en nuestro caso «Directiva_Usuarios» y en el menú emergente elegiremos «Editar…»:

Modificar directiva existente para quitar los datos del último usuario que inició sesión en el equipo

Hay que tener en cuenta que si esta directiva la tenemos aplicada a grupos de usuarios y habilitada, en cuanto hagamos las modificaciones, se irá aplicando a los usuarios de la/s unidad/es organizativa/s y grupos de equipos en los que esté aplicada.

En este caso, todas las directivas se habilitarán desde «Configuración del equipo». Por lo tanto esta directiva debe aplicarse a los equipos (Computers) del Directorio Activo que queramos.

Desplegaremos la rama de «Configuración del equipo» [1], luego la de «Directivas» [2], a continuación la de «Plantillas administrativas…» [3] y por último la de «Sistema» [4]. En la parte derecha tendremos todas las directivas de «Sistema», nosotros habilitaremos las siguientes [4]:

Modificar directiva existente para quitar los datos del último usuario que inició sesión en el equipo
  • Evitar que el usuario muestre detalles de la cuenta al iniciar sesión. Habilitaremos esta directiva:
Modificar directiva existente para quitar los datos del último usuario que inició sesión en el equipo
  • Desactivar las notificaciones de aplicaciones en la pantalla de bloqueo. Habilitaremos esta directiva:
Modificar directiva existente para quitar los datos del último usuario que inició sesión en el equipo
  • No enumerar usuarios conectados en equipos unidos al dominio. Habilitaremos esta directiva:
Modificar directiva existente para quitar los datos del último usuario que inició sesión en el equipo
  • Enumerar usuarios locales en equipos unidos al dominio. Habilitaremos esta directiva:
Modificar directiva existente para quitar los datos del último usuario que inició sesión en el equipo

Seguimos con las directivas de seguridad, en este caso las importantes para obligar al usuario a pulsar Control + Alt + Suprimir y para evitar que aparezca el último usuario que inició sesión. Para ello accederemos a «Configuración del equipo» – «Directivas» – «Configuración de Windows» – «Configuración de seguridad» – «Directivas locales» – «Opciones de seguridad». En esta rama, a la derecha, tendremos todas las opciones de Inicio de sesión interactivo, las que nos interesan son:

Modificar directiva existente para quitar los datos del último usuario que inició sesión en el equipo
  • Inicio de sesión interactivo: mostrar información de usuario cuando se bloquee la sesión. Marcaremos «Definir esta configuración de directiva» y en el desplegable elegiremos «No mostrar información del usuario»:
Modificar directiva existente para quitar los datos del último usuario que inició sesión en el equipo
  • Inicio de sesión interactivo: no mostrar el último nombre de usuario. Marcaremos «Definir esta configuración de directiva» y marcharemos «Habilitada»:
Modificar directiva existente para quitar los datos del último usuario que inició sesión en el equipo
  • Inicio de sesión interactivo: no requerir Ctrl+Alt+Supr. Marcaremos «Definir esta configuración de directiva» y marcaremos «Deshabilitada»:
Modificar directiva existente para quitar los datos del último usuario que inició sesión en el equipo

Probar directivas aplicadas en el inicio de sesión y bloqueo de equipo

Una vez establecidas las directivas anteriores, esperaremos unos minutos para que se apliquen en los equipos de los usuarios, o bien forzaremos su aplicación en un equipo cliente para comprobar que funciona correctamente. Para forzar la aplicación de la directiva podemos ejecutar (desde una ventana de Símbolo de sistema), el comando:

gpupdate /force

A continuación comprobaremos que la directiva se está aplicando, en nuestro caso «Directiva_Usuario», con el comando:

gpresult /r

(El comando anterior, para ver la aplicación de las directivas al equipo, tendremos que ejecutarlo como usuario administrador del dominio, abriendo la ventana de Símbolo de sistema como Administrador)

Una vez aplicada la directiva, cerraremos sesión en el equipo cliente y verificaremos que ahora obliga a pulsar Control + Alt + Suprimir para iniciar sesión (o para desbloquear):

Probar directivas aplicadas en el inicio de sesión y bloqueo de equipo

Y al plusar Control + Alt + Suprimir no debe aparecer nombre de usuario, lo tendremos que introducir nosotros (por seguridad esta es la opción recomendable):

Probar directivas aplicadas en el inicio de sesión y bloqueo de equipo