Microsoft sigue intentando que sus cuentas sean el estándar para el login de usuarios en Windows 10. Desde hace unas cuantas actualizaciones del sistema operativo, se viene favoreciendo la configuración de equipos con estas cuentas y a la vez ofuscando la opción de crear cuentas locales como siempre se ha hecho. Vamos a ver cómo podemos limitar o prohibir su uso.
En este sentido en Windows 10 también aparecieron las cuentas profesionales o educativas. Estas las puede añadir cualquier usuario al sistema simplemente logueándose en toda una serie de aplicaciones de Microsoft como por ejemplo Office o Teams.
El problema surge ya no tan solo por esta capacidad de agregar cuentas de manera inadvertida para el usuario sino que en entornos de trabajo compartido se acaban almacenando x cuentas que permiten un login directo a diferentes aplicaciones. Afortunadamente a través de las GPO podemos limitar o incluso prohibir está opción. Esto lo podemos llevar a cabo tanto a nivel de dominio como a nivel local, para este ejemplo veremos la modificación de una GPO.
Hay tres opciones en cuanto a su configuración:
- Deshabilitada - Esta es la opción predefinida, en ella los usuarios pueden añadir y usar cuentas de microsoft para acceder a diferentes servicios e incluso como usuarios en si del sistema.
- Los usuarios no pueden agregar cuentas de Microsoft - Esto significa que las cuentas conectadas existentes aún pueden iniciar sesión en el dispositivo. Sin embargo, los usuarios no pueden agregar nuevas.
- Los usuarios no pueden agregar o iniciar sesión con cuentas de Microsoft - En esta opcion limitamos tanto el añadir como el utilizar las existentes en caso que hubiera alguna.
Para cambiar el valor lanzamos primero el gpedit.msc
Una vez en el.editor de politicas de grupo, tenemos que editar el valor en la siguiente ruta de la GPO correspondiente
Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas locales\Opciones de seguridad
Allí tenemos disponibles las opciones que hemos comentado antes para seleccionar, veréis que por defecto la política está desactivada. Una vez aplicada y si hablamos de una red, distribuida, no requiere que los clientes reinicien para su activación
