Una medida de seguridad para evitar que intenten acceder con nuestro usuario a la red corporativa es que no aparezca nuestro login cuando hemos cerrado sesión.  Para el trabajador no es cómodo tener que meter los datos siempre que inicia sesión pero para el administrador puede ser un método de disuadir a alguien que tenga ganas de curiosear.

En muchas empresas se utiliza esta medida en equipos sensibles que son utilizados por varios usuarios, como por ejemplo un servidor miembro.

Esta GPO se puede aplicar en equipos cliente desde Windows 2000 y en equipos servidores desde Windows 2000 Server.

Cuando no tenemos aplicada la GPO esto es lo que aparece cuando cerramos sesión:

Como vemos aparece logistica1 que es el último usuario con el que se ha iniciado sesión correctamente en el servidor.

 

Para crear la GPO nos vamos a nuestro controlador de dominio y accedemos a Group Policy Management (gpmc.msc). Creamos una nueva GPO en Group Policy Objects con el nombre, por ejemplo, de “No mostrar Login”, le damos a Editar y aquí lo que tenemos que tener claro es que la setting que queremos habilitar es de Equipo ya que se va a aplicar a un equipo y no a un usuario, nos da igual con que usuario accedamos, siempre nos va a ocultar el “last logon”.

Ya sabiendo esto nos vamos a Computer Configuration/Windows Settings/Local Policies/Security Options y habilitamos la opción que nos interesa que en este caso es:

Interactive logon: Do not display last user name

Queremos que la GPO sólo se aplique a los servidores de nuestro dominio y no a los equipos clientes por lo que vamos a crear un Filtro WMI

Seguimos en la consola de Group Policy Management, creamos un nuevo Filtro WMI llamado “Servidor Miembro” y le añadimos la siguiente Query:

SELECT * FROM Win32_OperatingSystem WHERE ProductType = “3”

Lo que filtramos con esta Query es lo siguiente, seleccióname todos los equipos donde el ProductType sea igual a 3 en Win32_OperatingSystem. Esta query es así ya que sabemos lo siguiente:

En la clase Win32_OperatingSystem de WMI tenemos la propiedad “Product Type” que puede tomar varios valores y nos indica lo siguiente:

  • “1”: Ordenador de escritorio
  • “2”: Servidor Controlador de Dominio
  • “3”: Servidor miembro (No DC)

 

Una vez creado el filtro se tiene que unir a la GPO creada anteriormente:

Ahora sólo nos quedaría linkar la GPO al dominio o a la OU donde estén los equipos a los que queremos que se aplique la política. Y forzar la actualización de políticas en el servidor.

 

Una vez hecho esto vamos a comprobar que se aplica la política en los servidores miembro, nos vamos a uno de nuestros servidores y abrimos un cmd, con el comando gpupdate /force actualizamos las nuevas políticas del dominio:

Y ahora comprobamos que se ha actualizado correctamente con gpresult /r:

*Para actualizar las políticas del dominio no hace falta usar un usuario con privilegios pero para comprobar las Setting de Equipo tienes que ser, por lo menos, administrador local*

 

Ahora si cerramos sesión ya no nos muestra el último usuario que inició sesión:

Como hemos creado el filtro WMI para que sólo se aplique a servidores miembros si hacemos lo mismo con el cliente nos muestra la siguiente información:

Autor: Miguel Ángel Rentero Lavín
Curso: MCSA+MCSE, Tajamar 2015/16