Creación de una GPO para que no aparezca el Login

Entre muchas medidas de seguridad que tenemos que tener en nuestro CPD y servidores, consiste en evitar que intenten acceder con nuestro usuario o por lo menos que sepan cual es. Normalmente cuando dejamos de usar el servidor, damos a cambiar de usuario o cerrar sesión. Sin darnos cuenta que la cuenta de usuario quedará fijada en el login para la proxima vez que intentemos iniciar sesión

Esto es muy cómodo para los trabajadores, pues no tendrán que volver a escribir su usuario, pero para un administrador puede ser un problema si a alguien le da por curiosear por las instalaciones.

Este tipo de GPO las introdujo microsoft en los equipos cliente a partir de Windows 200 y en los servidores desde Windows 2000 Server

Antes de aplicar la GPO vemos como se muestra la ventana de inicio de usuario, tanto en servidor como en un equipo cliente
Inicio de Sesion

Creación de la GPO

La GPO la crearemos desde el controlador de dominio, bien podemos entrar mediante interfaz gráfica al Group Policy Management o también podemos ejecutar en la consola gpmc.msc.

La opción que queremos usar se llama Interactive logon: Do not Display last user name

Esta la podremos encontrar dentro de Computer configuration –>Windows Windows Settings –> Local Policies –> Security Options

GPO para login

Creación filtro WMI

Como la GPO sólo se nos ha especificado que la apliquemos a los servidores de nuestro dominio, ni a los equipos clientes ni a los controladores de domino. Por lo tanto la única solución que tenemos será crear un Filtro WMI

El filtro, lo podemos configurar también en la consola de Group Policy Management, el filtro lo llamaremos igual que la GPO
Filtro WMI login

Para ello hemos creado la siguiente Query:

SELECT * FROM Win32_OperatingSystem WHERE ProductType = “3”

Esto quiere decir que filtramos a todos los equipos en la clase Win32_OperatingSystem, la cual puede tomar 3 valores

  • “1”: Son los equipos de escritorio
  • “2”: Servidores con función de Controlador de Dominio
  • “3”: Servidores miembro (No Controladores de Dominio)

Una vez, creado el filtro lo enlazamos con nuestra GPO

Comprobación del filtro

Una vez tengamos configurada la GPO, utilizaremos un gpudate /force en los servidores y equipos cliente para que actualicen su GPO correspondientes. Esto lo podremos enviar a los usuarios, ya que este comando no requiere de permisos administrativos
Gpupdate /force
Una vez que tenemos eso, ejecutaremos un Gpresult /r para saber si se ha aplicado o no

En el caso de ser un servidor miembro veremos como se ha aplicado
Filtro aplicado mediante la GPO
Siendo un servidor también del dominio, pero este es un controlador de Dominio, vemos que no se aplica
Filtro no aplicado

 

Por lo tanto ahora ya no nos mostrará el último usuario que se haya logueado correctamente

 

Alumno: Pablo Martín Martín
Año académico: 2016/2017
Alumno de Tajamar
Curso académico: MCSE Private Cloud
Twitter: Pablo_martin95
linkedin: Pablo Martín Martín