En el artículo
Deshabilitar IM en Lync 2013 (Parte I) hemos visto crear una variable de registro para evitar que los usuarios puedan utilizar la IM en Lync 2013. Además, hemos visto como configurar una GPO para que crear la clave DisableIM en los equipos del dominio, pero lo ideal sería hacer lo mismo pero en función del usuario que inicie sesión en el equipo. Está claro que la rama del registro es la de la máquina (
HKLM\Software\Policies\Microsoft\Office\15.0\Lync), y ahí el usuario no tiene permisos para añadir ni modificar nada.
Lo primero que debemos hacer es configurar una GPO que permita modificar las claves de registro de la key Lync (HKLM\Software\Policies\Microsoft\Office\15.0\Lync), y posteriormente que se cree o modifique el valor DisableIM de 0 a 1 o de 1 a 0 en función del usuario que haya iniciado sesión. Vamos por partes, primero vamos a configurar los permisos sobre las key Lync para que los usuarios puedan modificarla, primero creamos un grupo de seguridad local de dominio que se utilizará para aplicarlo con permisos de Modificar sobre la key Lync:
Nombre del Grupo: ACL Regedit Lync Policies
Ámbito del Grupo: Dominio Local
Tipo: Seguridad
Miembros: usuarios o grupos que puedan tener habilitada la IM en Lync 2013, en nuestro caso GRP ASIRLAB (toda la empresa)
Ahora debemos crear la GPO que aplicará los permisos en la key del registro y que la crea de forma predeterminada para bloquear el IM a todos los usuarios en todos los equipos del dominio. Ahora buscamos la Key que queremos aplicar permisos (
debe existir en el servidor para poder seleccionarla, si es necesario crearla en el servidor y luego borrarla)
Añadimos al grupo
ACL Regedit Lync Policies para aplicar los permisos necesarios
Vamos a las
Opciones avanzadas y establecemos los siguientes permisos
Aceptamos y cerramos la edición de la directiva, ahora nos queda la segunda parte que es crear una GPO una que permita modificar la key DisableIM de 1 a 0 y de 0 a 1 en función del usuario o grupo de usuarios. Primero vamos a crear el grupo de usuarios que tendrán habilitado la IM y otro que no lo tendrán habilitado:
Ámbito del Grupo: Global
Tipo: Seguridad
Habilitado para IM: GRP Usuarios Habilitados IM Lync
Deshabilitado para IM: GRP Usuarios deshabilitados IM Lync
Ahora configuraremos una GPO para establecer el valor de DisableIM a 0 y 1 en función del grupo al que pertenezcas. Para ello podemos hacerlo desde una única GPO y aplicándola en función del grupo al que pertenezca. Editamos la GPO y vamos a Configuración de usuario – Preferencias – Configuración de Windows – Registro – Nuevo – Elemento del Registro (para habilitar la IM)
Configuramos las siguientes opciones para que los usuarios que son miembros del grupo GRP Usuarios deshabilitados IM Lync no puedan utilizar la IM de Lync, como vemos establecemos el valor DisableIM a 1
Ahora vemos las dos opciones de registro creadas
Ahora vamos a verificar que los usuarios ya tienen acceso a la variable de registro en la cual le hemos aplicado los permisos para el grupo ACL Regedit Lync Policies, para ello vamos a cualquier equipo y buscamos la rama de registro Lync y comprobamos los permisos desde la pestaña Acceso efectivo:
Ahora el tendrá permiso para modificar las claves, que es justo lo que necesitamos para que el propio usuario (a través de la GPO) pueda establecer el valor de la key DisableIM en función del grupo al que pertenezca. Como habilitar la edición en la key del registro es un problema de seguridad, lo que podemos hacer ahora es crear una GPO para evitar la edición del registro:
Ahora el usuario no podrá acceder al registro para cambiar o crear valores diferentes bajo la key
HKLM\Software\Policies\Microsoft\Office\15.0\Lync, tanto desde Inicio – Ejecutar tratando de abrir el registro (regedit)
como desde una línea de comandos (CMD) tratando de ejecutar la siguiente instrucción:
reg add HKLM\Software\Policies\Microsoft\Office\15.0\Lync /v DisableIM /t REG_DWORD /d 1 /f
De esta forma tenemos "controlado" que el usuario no pueda crear otras keys o claves de registro bajo la rama sobre la que tiene los permisos necesarios. En el artículo anterior (
Deshabilitar IM en Lync 2013 (Parte I)) se había creado una GPO que creaba la key DisableIM, pero sino modificamos la GPO cuando se actualicen las directivas de equipo establecerá la variable
DisableIM a 1, lo que sería un problema, puesto que si el usuario por cualquier motivo cierra la sesión de Lync y la vuelve a iniciar, no podrá tener acceso a la IM hasta que se vuelva a actualizar la GPO de usuario o bien el usuario cierra e inicia sesión de nuevo (engorroso para muchos usuarios). Para evitar este problema, debemos configurar la GPO de creación inicial de la variable DisableIM en todos los equipos de la siguiente forma:
De esta forma se creará la variable DisableIM con el valor a 1 pero solo una vez en todos los equipos actuales, y en los nuevos que vayamos añadiendo. Así no volverá a cambiar el valor DisableIM a 1 en cada actualización de directivas.
Resúmen
-
Creamos una GPO que cree el valor DisableIM con el valor a 0, además en la misma GPO asignamos los permisos sobre la rama del registro HKLM\Software\Policies\Microsoft\Office\15.0\Lync al grupo ACL Regedit Lync Policies. Los miembros de este grupo es otro grupo global al que pertenecen todos los usuarios de la empresa (facilita la gestión)
-
Creamos dos grupos de seguridad para controlar desde otra GPO para establecer el valor de DisableIM a 0 o 1: GRP Usuarios Habilitados IM Lync y GRP Usuarios deshabilitados IM Lync
-
Creamos una GPO que cambiará los valores de la variable DisableIM a 0 o 1 en función del grupo al que pertenezca el usuario, bien directamente o mediante la membresía de otros grupos entre si (recomendado)
-
Creación de una GPO para evitar que los usuarios puedan editar el registro, evitando así que los usuarios puedan crear o modificar manualmente las variables en la rama HKLM\Software\Policies\Microsoft\Office\15.0\Lync. Debemos recordar que el usuario tiene acceso de modificación en dicha clave.
-
Modificación de la GPO que crea la variable DisableIM, para que solo se aplique una única vez.
De esta forma únicamente añadiendo a los usuarios o grupos como miembros de los gruposGRP Usuarios Habilitados IM Lync o GRP Usuarios deshabilitados IM Lync, tendrá o no acceso a la IM de Lync 2013.
Espero que les sea de utilidad!!!!