Cerrar
MENU
mobile-logo
InicioDirectivas de GrupoGPO: Servicio instalador de ActiveX
Directivas de Grupo

GPO: Servicio instalador de ActiveX

0 Comentarios
0

Muchas webs utilizan complementos ActiveX y nos encontramos que nuestros usuarios del dominio no pueden acceder porque necesitan instalar el complemento ActiveX correspondiente. Los usuarios no tienen derechos suficientes para realizar esta instalación, por lo que será imposible utilizar ciertas funciones de la web o incluso su acceso. Seguro en vuestra red algún usuario necesita acceder a la URL de la Agencia Tributaria, y les mostrará una alerta de que necesita instalar el Control ActiveX.

servicio_instalacion_activex_1.jpg

Sin son pocos usuarios seguramente habéis optado por añadir al usuarios al grupo de administrador local de su equipo, acceder de nuevo a la misma Web y realizar la instalación. Una vez que ha finalizado la instalación, lo habréis quitado como miembro del grupo de administradores y el usuario puede acceder sin problemas. Pero si en vez de ser unos pocos usuarios son unos “cientos” de usuarios, entonces tendréis un problema. Podéis hacer varias cosas, crear una GPO para que añada a los usuarios del dominio como miembros del grupo administrador local de sus equipos. Luego cuando consideremos que lo han instalado podemos deshabiltiar la GPO, pero como comprenderéis esto tiene un riesgo considerable. También podemos configurar una GPO para permitir únicamente las instalaciones de ActiveX sin ser administradores locales en las URL que configuremos, denegando el resto de instalaciones por la naturaleza propia de su ROL de usuarios limitado. De esta forma, el usuario siempre podrá realizar la instalación del ActiveX en cualquier equipo y de forma controlada, vamos a ver como podemos configurarlo. Primero nos creamos la GPO y vamos a Configuración de equipo – Plantillas administrativas – Configuración de Windows – Servicio del instalador de ActiveX

servicio_instalacion_activex_3.jpg

servicio_instalacion_activex_4.jpg

Añadimos la URL (no se admiten caracteres comodin) desde la cual vamos a permitir la instalación del ActiveX con el Valor 1: Pedir confirmación al usuario para instalar el ActiveX

servicio_instalacion_activex_5.jpg

Si quieremos controlar la instalación de ActiveX tenemos una directiva para ello: Directiva de instalación de ActiveX para sitios en zonas de confianza
servicio_instalacion_activex_6.jpg
servicio_instalacion_activex_7.jpg
Esta configuración tiene su riesgo implicito, puesto que si permitimos la instalación de ActiveX de cualquier URL que tengamos en los sitios de confianza. Siempre  teniendo en cuenta el MPP (minimo privilegio posible), deberíamos escoger la primera opción de la directiva tratando de mitigar cualquier problema de seguridad. Si utilizamos la configuración Directiva de instalación de ActiveX para sitios en zonas de confianza yo filtraría a que equipos se le aplicaría esta directiva, por lo menos evitando que cualquier usuario de cualquier equipo pueda realizar instalaciones de ActiveX. Estos equipos serían de usuarios avanzados y que tienen claro que son las zonas de confianza y que se pueden delegar este tipo de tareas en su equipos, sin que el administrador tenga que intervenir.
Una vez que se haya aplicado la directiva a los equipos del dominio, los usuarios podrán instalar el complento ActiveX de la Agencia Tributaria
servicio_instalacion_activex_8.jpg
una vez que se ha instalado el ActiveX accedemos a la web sin problemas
servicio_instalacion_activex_9.jpg
Si vamos a ver los complementos ActiveX instalados (Internet Explorer – Herramientas – Opciones de Internet – Programas – Administrar Complementos), lo tenemos disponible y habilitado, pero si el usuario quiere deshabilitarlo tiene el botón Deshabilitar disponible. Aunque también podemos evitar el que los usuarios lo deshabiliten ocultando la pestaña Programas
servicio_instalacion_activex_10.jpg

Espero que os sea de  utilidad!!

ETIQUETAS:
COMPARTE EN:
Windows Server 2012:
Lo más destacado de

sbuytrago@asirsl.com

ARTÍCULOS RELACIONADOS
  1. Bloquear la instalación de .NET Framework 4.6.1 and SkypefB/Lync Server en Windows Server 2012 R2
  2. Blogs muy recomendables
  3. Cómo crear una Directiva de Restricción de Software para bloquear CrytpoLocker
  4. Cómo unir un equipo a un dominio sin conexión y además configurarlo para DirectAccess
  5. GPO: Instalación de fuentes a todos los equipos del dominio de forma automatizada
  6. GPO: Asignación de Sitios a Zonas en IE (20-01-2014)
  7. GPO Windows Server 2012 R2: Prevenir que los usuarios utilicen SkyDrive
  8. GPO Windows Server 2012 R2: Iniciar sesión automáticamente con el último usuario interactivo después de un reinicio iniciado por el sistema
  9. GPO: Asignar un dominio predeterminado para iniciar sesión
  10. GPO: Error de actualización de directivas de grupo remota
NO HAY COMENTARIOS

DEJA UN COMENTARIO

Este sitio web utiliza cookies. Si continúas navegando, consideramos que aceptas su uso. Puedes obtener más información en nuestra política de cookies. ACEPTAR

Aviso de cookies
Share This