none
cuentas de AD con privilegios de administrador sobre equipos del dominio

    Question

  •     Señores.


    tengo un dominio de pruebas, DC1, con N cuentas dentro de una Unidad Organizativa, la idea es crear un grupo de usuarios que tenga privilegios de administrador sobre los equipos del dominio en el cual se logeen, o tengan permitido el logeo. con objeto de q estos puedan  instalar ciertos programas en los pc.
    yo lo que ago hasta el momento es anidar la cuenta del dominio  dentro de las maquinas locales y desde hay los agrego al grupo administrador y de esta forma la cuenta del dominio posee privilegios de administrador sobre el pc.

    se que hay una forma de manejar esto desde AD,


    desde ya muchas gracias
    Tuesday, February 03, 2009 9:21 PM

Answers

All replies

  •  How to Configure a Global Group to Be a Member of the Administrators Group on all Workstations:
    http://support.microsoft.com/default.aspx/kb/320065/en-us

    Guillermo Delprato - MVP-MCT-MCSE
    • Marked as answer by Vog-Kem Wednesday, February 04, 2009 3:47 PM
    Tuesday, February 03, 2009 10:39 PM
    Moderator
  • Vog-Kem dijo:

        Señores.


    tengo un dominio de pruebas, DC1, con N cuentas dentro de una Unidad Organizativa, la idea es crear un grupo de usuarios que tenga privilegios de administrador sobre los equipos del dominio en el cual se logeen, o tengan permitido el logeo. con objeto de q estos puedan  instalar ciertos programas en los pc.
    yo lo que ago hasta el momento es anidar la cuenta del dominio  dentro de las maquinas locales y desde hay los agrego al grupo administrador y de esta forma la cuenta del dominio posee privilegios de administrador sobre el pc.

    se que hay una forma de manejar esto desde AD,


    desde ya muchas gracias



    Estimado Vog-Kem, como indica el colega Delprato, es mejor que inicies tu busqueda en ingles, hay mucha mayor informacion que la disponible en castellano.
    Espero que el link que te dio te ayude, márcala como correcta por favor.


    Saludos
    Wednesday, February 04, 2009 11:30 AM
  • Hola Vog-Kem,

    Desde AD puedes hacerles miembros del grupo Administradores a los usuarios que quieras, pero tal vez sea demasiado privilegio. Deberías crearte un grupo llamado por ejemplo "Instraladores" y le configuras la directiva que permite instalar aplicaciones.

    1. Configuracon del equipo/Plantillas administrativas/Componentes dewindows/Windows installer/Prohibir instalaciones de usuario
    2. Prohibir instalaciones de usuario: Deshabilitada
    3. Dar control al usuario sobre las instalaciones: Habilitar
    (También se puede configurar de manera local e independiente desde gpedit.msc)


    Así, sin ser administradores, el usuario podrá instalar aplicaciones.

    Un saludo


    Dani Alonso - http://www.Win2k8.com Especializado en Seguridad Informática y Sistemas Operativos para Servidores
    • Marked as answer by Vog-Kem Wednesday, February 04, 2009 3:43 PM
    • Unmarked as answer by Vog-Kem Wednesday, February 04, 2009 3:46 PM
    Wednesday, February 04, 2009 12:14 PM
    Moderator
  • Señores muchas gracias a todos por su pronta respuesta,

      me parecio muy bueno el foro, tratare de ser un miembro activo de una u otra forma.

      realice la configuracion de acuerdo al articulo de Guillermo, y me funciono de acuerdo a lo esperado. si que gracias, en tanto a lo que me plantea Dani,  lo estoy probando aun,


    si que una vez mas... gracias

    Atte.
    Victor Ortega
    Santiago-Chile
    • Marked as answer by Vog-Kem Wednesday, February 04, 2009 3:43 PM
    • Unmarked as answer by Vog-Kem Wednesday, February 04, 2009 3:45 PM
    Wednesday, February 04, 2009 3:41 PM
  • Estimado Vog-Kem, he visto que eres de Chile, puedo contactacme contigo por un tema que es ajeno a los foros?

     

    Thursday, February 05, 2009 10:38 AM
  • Efectivamente Pablo, soy de Chile.

     no se que podria ser, pero este es mi correo para que me cuentes. haber si te puedo ayudar

    Victor_ortega_g@hotmail.com

    spplash@gmail.com

    Atte.
    Victor Ortega
    Thursday, February 05, 2009 4:02 PM
  • Vog-Kem dijo:

    Efectivamente Pablo, soy de Chile.

     no se que podria ser, pero este es mi correo para que me cuentes. haber si te puedo ayudar

    Victor_ortega_g@hotmail.com

    spplash@gmail.com

    Atte.
    Victor Ortega



    Muchas gracias Victor, ya te envie un mail, es mejor que los borres para que no te llegue SPAM
    Thursday, February 05, 2009 5:09 PM
  • Arriba chileee!!!! Chi chi chi le le le!!!
    Bien por los mineros!

    Solo create un grupo, llamado administradores y dale permisos de domain admins en member of, esto a mi me permitio que mi usuario tuviera privilegios de administrador sobre cualquier equipo al abrir mi cuenta.

    Saludos

    Wednesday, October 13, 2010 6:26 PM
  • ingeluigi, el problema con la solución que pones, es que en ese caso no sólo son administradores de los equipos del dominio, sino que además son *administradores del dominio* que es algo diferente y que le otorga muchos más privilegios.

     


    Guillermo Delprato - Buenos Aires, Argentina
    MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.
    Wednesday, October 13, 2010 7:04 PM
    Moderator
  • Coincido con Guillermo, esa "solución" es muy arriesgada y estaríamos poniendo el peligro la seguridad de todo nuestro dominio.
    Dani Alonso [Microsoft Active Professional]
    Web: http://www.win2k8.com
    Blog: http://www.win2k8.com/blog

    "Ayudar a los demás es ayudarse a sí mismo"....
    Especializado en Seguridad Informática y Sistemas Operativos para Servidores
    Thursday, October 14, 2010 6:01 AM
    Moderator
  • Haiendo lo comentado que dice Ingeluigi consigues que:

    1.- El ususrio pueda instalarse el software que le de la gana

    2.-El usuario de convierte en Domain admin, por lo tanto, puede hacer lo que le de la gana en el dominio

    3.-El usaurio puede instalarse las herramientas administrativas para el Directorio Activo, y quitarte a tí como domain admin, crear cuentas, elimianrlas, cargarse el dominio y cualquier cosa mala que puedas pensar; evidentemente a tí te deja con un problema muy grave..

    Así que cuidadín con esas cosas.


    -------- Salu2!! Javier Inglés - Microsoft Active Professional 2010
    Thursday, October 14, 2010 6:43 AM
    Moderator