none
Como dar permiso a un usuario para instalar aplicativos en su equipo local

    Question

  • Estimados,

    Por medio de la misma quisiera consultarles, que permiso le tengo q asignar a un usuario que se logua a un AD de Windows 2008 para q en su PC pueda instalar aplicaciones pero q no tenga el suficiente permiso de administrador de su equipo y obviamente del dominio. Es posible esto?

    Desde ya muchas gracias.

    Cordialmente,

    Juan Antonio Capola

    Tuesday, August 10, 2010 1:36 PM

Answers

  • Hola Jorge, es correcto lo que dices, simplemente que no orienté a Juan Antonio para ese lado pues lo que planteaba era que "el usuario" pudiera instalar, y teniendo en cuenta eso no creo que tenga un sistema implementado centralizadamente. Pero es correcto lo que dices.

    Quizás una aclaración, por GPO puede Asignar o Publicar por usuario, pero en ese caso si o si debe tratarse de un MSI. Lo mismo si Asigna por máquina.
    En este caso la instalación, como dices, no se hace con los privilegios del usuario, sino con las del sistema.
    El uso de ZAPs, que permiten EXEs, está bastante limitado por el hecho que tiene que poner una línea de comando que haga la instalación totalmente desatendida.

    De todas formas, alguien que puede instalar "lo que quiera" puede terminar alterando todo el sistema, y por lo tanto la idea que no sea administrador termina siendo banal (por lo menos eso piensoyo)

    Esperemos a ver qué contesta Juan Antonio y seguramente se lo podrá orientar mejor.

     


    Guillermo Delprato - MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration --- Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos. --- Buenos Aires, Argentina
    Saturday, August 14, 2010 10:59 AM
    Moderator

All replies

  • Es posible dependiendo de la aplicación que necesite instalar.

    Hay aplicaciones que escriben sólo en la carpeta del usuario y en el registro en HKCU, con lo cual alcanza con ser usuario normal.

    Cuando tratan de escribir en otros lugares es que comienzan los problemas. En algunos casos alcanza con Usuarios Avanzados (Power Users), y en otros casos solamente si es administrador local puede instalarlas.

     


    Guillermo Delprato - MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration --- Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos. --- Buenos Aires, Argentina
    Wednesday, August 11, 2010 6:29 PM
    Moderator
  • Hola Guillermo Delprado,

    Antes q nada gracias por tu respuesta, la duda q me quedo es si este permiso se lo tengo q aplicar a la PC local o se lo puedo bajar por medio de AD. son barias as PC con este permiso.

    En el AD del Win 2008 no tengo ese permiso de Usuarios Avanzados o Power User, lo q tengo es: Usuario, Usuarios COM Distribuidos, Usuarios de Escritorio Remoto, Usuario del Dominio Usuario del Monitor de Sistema y Usuario del Registro de Rendimiento.

    Lo q me gustaría saber cuales son los programas mas restrictivos o menos restrictivos para q instalen los usuarios sin privilegios.

    Nuevamente gracias. Saludos

    Juan Antonio Capola
    Thursday, August 12, 2010 12:53 PM
  • Delprato, no Delprado :-)

    Poder instalar aplicaciones, implica permisos tanto en el sistema de archivos, como en claves del Registro. E inclusive en algunos casos, además de permisos se necesitan "derechos" que es otra cosa diferente a "permisos".

    En un server 2008, no hay grupo equivalente a Usuarios Avanzados.

    Ojalá supiera para cada aplicación qué privilegios se necesitan para instalarlas :-)
    Normalmente quien necesita instalar aplicacioenes en un equipo es siempre administrador del mismo, o por lo menos administrador local del equipo.
    La instalación de una "mala aplicación pone en juego el funcionamiento de todo el equipo, así que por eso se debe ser administrador local.

     


    Guillermo Delprato - MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration --- Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos. --- Buenos Aires, Argentina
    Thursday, August 12, 2010 9:14 PM
    Moderator
  • Hola Juan.

    te planteo la siguiente solucion:

    Presumiendo que el usuaio instalará aplicaciones permitidas segun las politicas de seguridad de tu empresa, (de lo contrario evalua darle permisos de administrador :) ) publica las aplicaciones que el usuario requerie en el AD. si son exe y no msi publica las aplicaciones por configuracion de usuario y le creas un archivo ZAP al ejecutable de la aplicacion. (abajo te copio la sintaxis)

    corrijanme si estoy equivocado: cuando instalas una aplicacion por GPO asignada a un usuario esta esta se con permisos elevados (permisos del sistema) que omiten los permisos limitados del usuario. sin embargo, cuando un usuario utiliza un archivo de Windows Installer para instalar una aplicación de forma manual, la instalación está limitada por ese nivel de privilegio del usuario actual.

    Puede configurar un sistema para ejecutar todas las instalaciones de Windows Installer, incluidas las instalaciones manual, con privilegios elevados, esto mediante un aGPO. Sin embargo, esto conlleva el riesgo de que un usuario experto puede utilizar la elevación de privilegios para acceder a las áreas del sistema.

    [application]
    FriendlyName = "WinRar versión 3.0"
    SetupCommand = "\\SERVIDOR\ZAP\Winrar30\wrar300.exe"
    DisplayVersion = 3.0
    [ext]
    RAR=

    Saturday, August 14, 2010 9:54 AM
  • Hola Jorge, es correcto lo que dices, simplemente que no orienté a Juan Antonio para ese lado pues lo que planteaba era que "el usuario" pudiera instalar, y teniendo en cuenta eso no creo que tenga un sistema implementado centralizadamente. Pero es correcto lo que dices.

    Quizás una aclaración, por GPO puede Asignar o Publicar por usuario, pero en ese caso si o si debe tratarse de un MSI. Lo mismo si Asigna por máquina.
    En este caso la instalación, como dices, no se hace con los privilegios del usuario, sino con las del sistema.
    El uso de ZAPs, que permiten EXEs, está bastante limitado por el hecho que tiene que poner una línea de comando que haga la instalación totalmente desatendida.

    De todas formas, alguien que puede instalar "lo que quiera" puede terminar alterando todo el sistema, y por lo tanto la idea que no sea administrador termina siendo banal (por lo menos eso piensoyo)

    Esperemos a ver qué contesta Juan Antonio y seguramente se lo podrá orientar mejor.

     


    Guillermo Delprato - MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration --- Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos. --- Buenos Aires, Argentina
    Saturday, August 14, 2010 10:59 AM
    Moderator
  • Guillermo, Jorge,

    Ante todo gracias por sus respuestas,

    Todavía en el proyecto no esta implementado una instalación centralizada como sugiere Guillermo, es una excelente idea, q la puedo sugerir, si lo consideran lo haré con todo gusto! además son muchas y varias aplicaciones q se desea instalar.

    Por otro lado y momentáneamente voy a darle tal como me sugirieron primero el permiso de POWER USER a la terminal, mi pregunta es tendría q crear dos usuario diferente, uno como usuario local del equipo q ese tendría el permiso de power user (sobre el equipo) y otro como usuario del dominio en el AD, es así? o sea cuando el usuario quiera instalar una aplicación en su equipo local se tendrá q loguear a su equipo como usuario (power user) local. Es asi?

      Nuevamente, gracias! Un saludo, Juan Antonio Capola

    Wednesday, August 18, 2010 12:45 PM
  • No hace falta crear dos usuarios, simplemente al usuario del dominio se lo agrega al grupo local Power Users.

    De todas formas hay que tener cuidado y probar, porque depende lo que haga la instalación de la aplicación funcionará o no.

    Si hay dominio, lo mejor, más seguro, y con menos trabajo, es centralizar todo lo que se pueda la administración.
    Ya está la herramienta instalada: el dominio :-)

     


    Guillermo Delprato - Buenos Aires, Argentina
    MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.
    Wednesday, August 18, 2010 1:56 PM
    Moderator
  • Hola Juan Antonio.

    Este año comenzo mi experiencia como administrador de windows server R2, especificamente con Standar.

    Yo tenia el mismo incoveniente, ya que quieria que algunos usuarios de la red tuvieran los privilegios de administrador en sus equipos para que ellos puediran instalar las aplicaciones que quisieran, logicamente son usuarios avanzados que poseen conceptos sobre seguridad del sistema.

    Cada vez que requerian instalar o desinstalar una aplicacion , el administrador tenia que ir hasta el equipo e ingresar la contraseña de administrador para permitir estas acciones.

    asi que decidi hacer lo siguiente:

    En el Equipo que quiero conceder los privilegios de administrador local del equipo (no administrador en el server), voy a Panel de control, Cuentas de Usuario, Luego Administrar cuentas de Usuario, en este momento te pide usuario y contraseña necesitas acceder como administrador del dominio, luego la siguiente pantalla muestra los respectivos usuarios locales, asi que vas a la opcion agregar, luego ve a la opcion examinar , no coloque usuario y dominio , luego de dar en examinar coloca tu nombre de usuario en buscar objetos y da la opcion comprobar nombres, cuando compruebes el usuario da Aceptar, luego siguiente y eliges la opcion de administrador y finalizar.Quizas necesites reiniciar Sesion para que tomes los cambios.

    El Usuario tiene privilegios de administrador en su equipo unicamente, y en realidad en mi experiencia no he tenido algun inconveniente con este procedimiento.

    Me  disculpo si mi respuesta tal vez no sea acertada o quizas no llene tus expectativas de acuerdo a tu situacion.

    Gracias.

    Monday, August 23, 2010 3:53 PM
  • HOla Rarage,

    Gracias por tu respuesta, lo q me gustaria es poder hacer esto mismo por AD, sin tener q ir a la PC del usuario y darle permiso de power user al usuario local de esa maquina, (en el AD no lo vi) pero evidentemente no se puede...

    No tenes nada q disculparte, toda ayuda es bien venida!

    muchas gracias! Juan Antonio Capola

    Tuesday, August 24, 2010 1:16 PM
  • Hola Guillermo, ya tengo el dominio montado y presisamente quiero darle el permiso de power user o usaurio avanzado, por active directory y no ir pc por pc y darle el permis este a cada una en forma local...

    Gracias! saludos cordiales, Juan Antonio Capola

    Tuesday, August 24, 2010 1:20 PM
  • Tuesday, August 24, 2010 4:30 PM
  • Hola Juan, teniendo el dominio puedes automatizar el proceso por GPO

    Revisa este enlace:
    How to Configure a Global Group to Be a Member of the Administrators Group on all Workstations:
    http://support.microsoft.com/kb/320065

    Es para ponerlo en el grupo local Administradores de la estación de trabajo. Pero es fácilmente adaptable si quieres que sea Power User nada más.

     


    Guillermo Delprato - Buenos Aires, Argentina
    MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.
    Tuesday, August 24, 2010 8:10 PM
    Moderator
  • Hola Guillermo, buen día!

    Ayer probé la solución q me brindaste y funciona bien! lo único q me quedo para hilar fino es cuando se le agrega el permiso al usuario es de Administrador del Equipó y Administrador de Dominio, me gustaría bajarlo un poco a Usuario Avanzado, si bien no seria mucho problema q sea Administrador de su equipo, no quiero q sea Administrador del Dominio, se entiende? si se puede hacer mas granular seria bueno...

    Guillermo muchas gracias por tu respuesta!

    Un saludo! Juan Antonio Capola

    Thursday, August 26, 2010 12:16 PM
  • Hola Jorge, Buen dia!

    Ayer probé la solución q me brindaste y funciona bien! lo único q me quedo para hilar fino es cuando se le agrega el permiso al usuario es de Administrador del Equipó y Administrador de Dominio, me gustaría bajarlo un poco a Usuario Avanzado, si bien no seria mucho problema q sea Administrador de su equipo, no quiero q sea Administrador del Dominio, se entiende? si se puede hacer mas granular seria bueno...

    Jorge muchas gracias por tu respuesta!

    Un saludo! Juan Antonio Capola

    Thursday, August 26, 2010 12:33 PM
  • Al usuario no hay que hacerlo pertenecer a Administradores de Dominio, sólo al grupo Administradores *local* de la máquina, como indica el enlace que puse.

     

     


    Guillermo Delprato - Buenos Aires, Argentina
    MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.
    Thursday, August 26, 2010 6:35 PM
    Moderator
  • yo les planteo lo siguiente: En la institucion hay un departamento de tecnologia (Administrador de servidores y redes, DBA, Soporte Tecnico) el administrador de servidores es quien controla el dominio, pero el encargado de soporte tecnico es quien da el mantenimiento a los equipos, instala software y configura las PC. Como pueden ver el administrador de servidores = Administrador del dominio, el de Soporte Tecnico = usuario avanzado, en este escenario no puedo agregar al grupo de administradores de dominio en el AD al sr de soporte tecnico y tambien es muy complicado estarle dando acceso como administrador local de cada pc que el va a reparar, peor aun cuando el viaja a alguna agencia o sucursal de la institucion.

    Con esto que les planteo creo que se ve mas claro el porque se necesita darle permisos de instalacion a un usuario (soporte tecnico) que no necesariamente es el administrador del dominio.

    Saludos.

    Tuesday, June 26, 2012 10:55 PM
  • Hola Mayron, lee de nuevo el hilo :)

    Para que alguien pueda instalar y configurar una máquina no necesita ser *administrador del dominio*, sino *administrador local del equipo*. Y esto le da privilegios nada más que sobre dicho equipo y no sobre el dominio ni otros equipos

    Además, como está puesto más arriba, el proces de agregar a un grupo del dominio (por ejemplo SoporteDesktop) al grupo *administradores local* de cada equipo, se puede automatizar con GPOs

     


    Guillermo Delprato - Buenos Aires, Argentina
    Visite Notas Windows Server
    MVP - MCT - MCSE - MCSA
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    Tuesday, June 26, 2012 11:08 PM
    Moderator