Cerrar
MENU
mobile-logo
InicioComunicaciones UnificadasLync ServerDeshabilitar IM en Lync 2013 (Parte II)
Lync Server

Deshabilitar IM en Lync 2013 (Parte II)

2 Comentarios
0
En el artículo Deshabilitar IM en Lync 2013 (Parte I) hemos visto crear una variable de registro para evitar que los usuarios puedan utilizar la IM en Lync 2013. Además, hemos visto como configurar una GPO para que crear la clave DisableIM en los equipos del dominio, pero lo ideal sería hacer lo mismo pero en función del usuario que inicie sesión en el equipo. Está claro que la rama del registro es la de la máquina (HKLM\Software\Policies\Microsoft\Office\15.0\Lync), y ahí el usuario no tiene permisos para añadir ni modificar nada.
Lo primero que debemos hacer es configurar una GPO que permita modificar las claves de registro de la key Lync (HKLM\Software\Policies\Microsoft\Office\15.0\Lync), y posteriormente que se cree o modifique el valor DisableIM de 0 a 1 o de 1 a 0 en función del usuario que haya iniciado sesión. Vamos por partes, primero vamos a configurar los permisos sobre las key Lync para que los usuarios puedan modificarla, primero creamos un grupo de seguridad local de dominio que se utilizará para aplicarlo con permisos de Modificar sobre la key Lync:
Nombre del Grupo: ACL Regedit Lync Policies
Ámbito del Grupo: Dominio Local
Tipo: Seguridad
Miembros: usuarios o grupos que puedan tener habilitada la IM en Lync 2013, en nuestro caso GRP ASIRLAB (toda la empresa)
Deshabilitar_IM_Lync2013_1.jpgDeshabilitar_IM_Lync2013_2.jpg
Ahora debemos crear la GPO que aplicará los permisos en la key del registro y que la crea de forma predeterminada para bloquear el IM a todos los usuarios en todos los equipos del dominio. Ahora buscamos la Key que queremos aplicar permisos (debe existir en el servidor para poder seleccionarla, si es necesario crearla en el servidor y luego borrarla)
Deshabilitar_IM_Lync2013_3.jpg
Añadimos al grupo ACL Regedit Lync Policies para aplicar los permisos necesarios
Deshabilitar_IM_Lync2013_4.jpg
Vamos a las Opciones avanzadas y establecemos los siguientes permisos
Deshabilitar_IM_Lync2013_5.jpg
Aceptamos y cerramos la edición de la directiva, ahora nos queda la segunda parte que es crear una GPO una que permita modificar la key DisableIM de 1 a 0 y de 0 a 1 en función del usuario o grupo de usuarios. Primero vamos a crear el grupo de usuarios que tendrán habilitado la IM y otro que no lo tendrán habilitado:
Ámbito del Grupo: Global
Tipo: Seguridad
Habilitado para IM: GRP Usuarios Habilitados IM Lync
Deshabilitado para IM: GRP Usuarios deshabilitados IM Lync
Ahora configuraremos una GPO para establecer el valor de DisableIM a 0 y 1 en función del grupo al que pertenezcas. Para ello podemos hacerlo desde una única GPO y aplicándola en función del grupo al que pertenezca. Editamos la GPO y vamos a Configuración de usuario – Preferencias – Configuración de Windows – Registro – Nuevo – Elemento del Registro (para habilitar la IM)

Deshabilitar_IM_Lync2013_14.jpg

Configuramos las siguientes opciones para que los usuarios que son miembros del grupo GRP Usuarios deshabilitados IM Lync no puedan utilizar la IM de Lync, como vemos establecemos el valor DisableIM a 1

Deshabilitar_IM_Lync2013_7.jpgDeshabilitar_IM_Lync2013_8.jpg
Deshabilitar_IM_Lync2013_12.jpg

Ahora debemos volver a repetir los mismo pasos  pero estableciendo distintos valores que vamos a ver a continuación, los usuarios del grupo GRP Usuarios habilitados IM Lync puedan utilizar la IM de Lync, como vemos establecemos el valor DisableIM a 0

Deshabilitar_IM_Lync2013_10.jpgDeshabilitar_IM_Lync2013_11.jpg

Deshabilitar_IM_Lync2013_9.jpg

Ahora vemos las dos opciones de registro creadas

Deshabilitar_IM_Lync2013_13.jpg

Ahora vamos a verificar que los usuarios ya tienen acceso a la variable de registro en la cual le hemos aplicado los permisos para el grupo ACL Regedit Lync Policies, para ello vamos a cualquier equipo y buscamos la rama de registro Lync y comprobamos los permisos desde la pestaña Acceso efectivo:

Deshabilitar_IM_Lync2013_15.jpg
Deshabilitar_IM_Lync2013_16.jpg

Ahora el tendrá permiso para modificar las claves, que es justo lo que necesitamos para que el propio usuario (a través de la GPO) pueda establecer el valor de la key DisableIM en función del grupo al que pertenezca. Como habilitar la edición en la key del registro es un problema de seguridad, lo que podemos hacer ahora es crear una GPO para evitar la edición del registro:

Deshabilitar_IM_Lync2013_19.jpg

Deshabilitar_IM_Lync2013_17.jpg
Deshabilitar_IM_Lync2013_18.jpg
Ahora el usuario no podrá acceder al registro para cambiar o crear valores diferentes bajo la key HKLM\Software\Policies\Microsoft\Office\15.0\Lync, tanto desde Inicio – Ejecutar tratando de abrir el registro (regedit)
Deshabilitar_IM_Lync2013_20.jpg
como desde una línea de comandos (CMD) tratando de ejecutar la siguiente instrucción:
reg add HKLM\Software\Policies\Microsoft\Office\15.0\Lync /v DisableIM /t REG_DWORD /d 1 /f
Deshabilitar_IM_Lync2013_21.jpg
De esta forma tenemos “controlado” que el usuario no pueda crear otras keys o claves de registro bajo la rama sobre la que tiene los permisos necesarios. En el artículo anterior (Deshabilitar IM en Lync 2013 (Parte I)) se había creado una GPO que creaba la key DisableIM, pero sino modificamos la GPO cuando se actualicen las directivas de equipo establecerá la variable DisableIM a 1, lo que sería un problema, puesto que si el usuario por cualquier motivo cierra la sesión de Lync y la vuelve a iniciar, no podrá tener acceso a la IM hasta que se vuelva a actualizar la GPO de usuario o bien el usuario cierra e inicia sesión de nuevo (engorroso para muchos usuarios). Para evitar este problema, debemos configurar la GPO de creación inicial de la variable DisableIM en todos los equipos de la siguiente forma:

Deshabilitar_IM_Lync2013_22.jpg

De esta forma se creará la variable DisableIM con el valor a 1 pero solo una vez en todos los equipos actuales, y en los nuevos que vayamos añadiendo. Así no volverá a cambiar el valor DisableIM a 1 en cada actualización de directivas.

Resúmen
  • Creamos una GPO que cree el valor DisableIM con el valor a 0, además en la misma GPO asignamos los permisos sobre la rama del registro HKLM\Software\Policies\Microsoft\Office\15.0\Lync al grupo ACL Regedit Lync Policies. Los miembros de este grupo es otro grupo global al que pertenecen todos los usuarios de la empresa (facilita la gestión)
  • Creamos dos grupos de seguridad para controlar desde otra GPO para establecer el valor de DisableIM a 0 o 1: GRP Usuarios Habilitados IM Lync y GRP Usuarios deshabilitados IM Lync
  • Creamos una GPO que cambiará los valores de la variable DisableIM a 0 o 1 en función del grupo al que pertenezca el usuario, bien directamente o mediante la membresía de otros grupos entre si (recomendado)
  • Creación de una GPO para evitar que los usuarios puedan editar el registro, evitando así que los usuarios puedan crear o modificar manualmente las variables en la rama HKLM\Software\Policies\Microsoft\Office\15.0\Lync. Debemos recordar que el usuario tiene acceso de modificación en dicha clave.
  • Modificación de la GPO que crea la variable DisableIM, para que solo se aplique una única vez.
De esta forma únicamente añadiendo a los usuarios o grupos como miembros de los gruposGRP Usuarios Habilitados IM Lync o GRP Usuarios deshabilitados IM Lync, tendrá o no acceso a la IM de Lync 2013.
Espero que les sea de utilidad!!!!
ETIQUETAS:
COMPARTE EN:
Frase Célebre: Todo
El Ayuntamiento de B

sbuytrago@asirsl.com

ARTÍCULOS RELACIONADOS
  1. Lync Server: Un Edge, Un Certificado SAN para un Dominio, Múltiples Dominios SIP y Federaciones (Actualizado 12-06-2013)
  2. Bloquear la instalación de .NET Framework 4.6.1 and SkypefB/Lync Server en Windows Server 2012 R2
  3. Pon un Certificado Wildcard (Comodín) en tu Infraestructura IT
  4. Requisitos de HW y SW para una Infraestructura IT de Comunicaciones Unificadas para PYMES (Parte IV de IV)
  5. Requisitos de HW y SW para una Infraestructura IT de Comunicaciones Unificadas para PYMES (Parte III de IV)
  6. Requisitos de HW y SW para una Infraestructura IT de Comunicaciones Unificadas para PYMES (Parte II de IV)
  7. Lync Server 2013 Cumulative Update KB 2809243
  8. Requisitos de HW y SW para una Infraestructura IT de Comunicaciones Unificadas para PYMES (Parte I de IV)
  9. Cómo podemos elegir que DID mostrar en cada llamada
  10. Lync Server 2013 Cumulative Update KB 2809243
2 COMENTARIOS
  • COnsulta / Autor / 15 junio, 2014

    Estimado, he habilitado la opción de aparecer como desconectado pudiendo ver a mis demás contactos en LINC 2010, consulta: como hago para que mis contactos vean que me he desconectado pero en no más de 5 minutos, dado que cuando ven mi estado aparezco como desconectado desde que tengo puesto ese estado, por ejemplo -Desconectado desde hace 5 días.
    Saludos

    Deja un comentario
  • Respuesta / Autor / 18 junio, 2014

    Hola Franco:

    Lo que buscas no es posible, porque el tiempo de indisponibilidad se contabilidad con el estado del usuario. Por lo que sí tu decides que “No estás disponible” para Lync es un estado tal cual, y al resto le mostrará que no estás conectados. Si lo que quieres es que los usuarios en ciertos momentos del día no te “molesten”, es mejor que te cambias el estado “No Molestar”

    Un saludo

    Deja un comentario

DEJA UN COMENTARIO

Este sitio web utiliza cookies. Si continúas navegando, consideramos que aceptas su uso. Puedes obtener más información en nuestra política de cookies. ACEPTAR

Aviso de cookies
Share This