none
Directiva que permita a usuarios normales ejecutar programas con derechos de administrador

    Question

  • Buenos días:

    Tengo 1 controlador de dominio y dos servidores de Terminal Serever con Windows 2008. Los clientes se conectan a terminal server por escriorio remoto validándose contra el Controlador de Dominio en el que están definidas las directivas que se aplican a los usuarios. Mi pregunta es ¿Existe alguna directiva que permita que ciertos usuarios normales que ejecuten un programa en concreto que requiera derechos de administrador sin que les pida el usuario y la contraseña del Administrador?

    No me sirve la directiva de restricción de software, ya que tendría que incluir en la lista de programas permitidos todos los programas que se pueden ejecutar, y éstos son muchos, diferentes para cada usuario y son factibles de ser quitados algunos y añadidos otros. Ésto me supondria tener que estar actualizando las listas continuamente.

    Concretamente lo que necesito es cada usuario continúe ejecutando sus programas correspondientes como vienen haciendo hasta ahora, Pero que además algunos de ellos (4 o 5) puedan ejecutar un programa en concreto que requiere derechos de Administrador y que no les pida usuario y contraseña de Administrador.

    Gracias a todo el foro por la ayuda que me puedan prestar.

    Wednesday, November 10, 2010 1:36 PM

Answers

All replies

  • Puedes crear un archivo bat con un RunAs y el savecred puesto

    http://technet.microsoft.com/en-us/library/cc771525(WS.10).aspx

    La primera vez tendrás que ponerle el user y la conttraseña de un administrador local; para las siguientes veces no debería ya ser necesario.

    No obstante, es realmente necesario? No podría ser suficiente darle a esos 4-5 usaurios accesos a las ramas de registro o de fichero donde puedan requerir más permisos?


    -------- Salu2!! Javier Inglés - Microsoft Active Professional 2010
    Wednesday, November 10, 2010 1:49 PM
  • -- Eso de acceso al registro como sería?

     

    -- Me interesa ejecutar una aplicacion. a3software

    Con derechos de administrador, al hacer un ejecutar como, la aplicacion se ejecuta, pero dice que no tiene acceso a la BD, que esta en este caso en S:\

    Es decir me interesaria hacer una bat, que ejecutar el exe, como admin,(local) y que mapeara

    donde esta la BD a la unidad S.

    ¿La sintaxis como sería???

    Tuesday, November 23, 2010 7:33 PM
  • A3 no requiere de permisos de administrador, sólo de permisos en su carpeta de instalación y donde albergue la BBDD (dejar la BBDD directamnete en el raíz de un disco nunca es una buena práctica y está totalmente desaconsejado; si la vas a dejar ahí, da los permisos a los usuarios sólo en la BBDD, no en el disco). Creo recordar que en ProgramFiles\Commomfiles hay una A3Shared donde también deben tener permisos.

    A nivel de registro no lo requiere (pero si quieres darlos, eliges la rama o carpeta de registro, botónderecho sobre ella-->Permisos)


    -------- Salu2!! Javier Inglés - Microsoft Active Professional 2010
    Wednesday, November 24, 2010 6:38 AM
  • muchisimas gracias por tu tiempo. ya te cuento.

    Haber el tema es que la BD

    esta en

    En la maquina que va a usar el a3 s:\a3\  --> es decir en una carpeta compartida en el servidor, que es algo asi como e:\esgc\ y dentro a3 y que yo mapeo como S en la maquina xp.

    En si el programa no requiere pesmisos de adminsitrador. Para ejecutarse Pero para actulizar sospercho que si..., hay una opcion de actualizar por web, que no he podido probar por que no puedo provocar una actualizacion, eso en principio me da igual, por que en tal caso si no va por web, entro como admin local y se lo hago y pista total es una vez cada x tiempo. Aunque si pudiera dar a esa aplicacion poder... pues bien.

    Le he dado con la cuenta de admin  local

    en el regedit al

    local machine\software\a3

    y he agreadado a los ususarios del dominio, que me pidio la clave de admin de dominio.

    Y el a3shared, esta en C:\windows\a3shared le di permisos a los usuarios del dominio.

    El fallo segundo y el más importante(bueno molesto) es que cada vez que imprimian, mandaban, un mensaje de error, prtntda.dat algo asi...

    Y con el usuario admin local, no daba. solo al logarse con los usuarios....

    Llame a soporte de a3 y me dijeron que era un tema de la imprsora, de cambiar el nombre a unos archivos... reinstalar la imprsora pdf o algo asi, una serie de pasitos faciles de hacer... pero nada.

    Haber si con estos cambios pueden actualizar y... lo de imprimir.

    s2

     

     

    El lunes os comento, o a lo largo de la semana.

    Friday, November 26, 2010 7:35 PM
  • Bendito puente.

    El problema que tenía con la advertencia, al imprimir, fue tan sencillo, como dar permisos a los usuarios del dominio, (especificos) en la carpeta local, c:\windows\a3shared o similar. (Aunque tb hice cambios en el registro como indicaban arriba)

    Lo que no he conseguido es poder actualizar la aplicacion desde web, (como tenia que hacerlo por narices, pues lo que he echo ha sido entrar como admin, y actualizar) pero luego me di cuenta de que en el servidor donde estaba la base de datos, me quedaba por dar permisos de control total, al usuario especifico nuevo. No me apetece dar esos permisos a TODOS los users del dominio, sino más bien únicamente a los 2 que van a usar la aplicación.

    Friday, December 10, 2010 7:03 AM
  • Bueno debido a que debes de corre el programa como administrador o con permisos totales puedes realizar un runas este lo puedes crear con visual y es solo poner la direcion o ruta exacta del programa y el usuario y contraseña con la cual va abrir la aplicacion

    Public Class Form1

     

    Private Sub Form1_Load(ByVal sender As System.Object, ByVal e As System.EventArgs) Handles MyBase.Load

     

    'Comando(s) a ejecutar
     

     

    Dim cmmd As String = "la ruta del programa"

    'System.Environment.GetEnvironmentVariable("WINDIR") & "\system32\cmd.exe"

     

    'Parametros de ejecucin
     

     

     

     'Se crean las nuevas instancias de ProcessStartInfo y SecureString para el inicio de sesin

     

    Dim theProcessStartInfo As New System.Diagnostics.ProcessStartInfo()

     

    Dim theSecurePassword As New System.Security.SecureString()

     

    'Inicializacin de password

    theSecurePassword.AppendChar(

    "a")

    theSecurePassword.AppendChar(

    "q")

    theSecurePassword.AppendChar(

    "u")

    theSecurePassword.AppendChar(

    "i")

    theSecurePassword.AppendChar(

    "v")

    theSecurePassword.AppendChar(

    "a")

    theSecurePassword.AppendChar(

    "t")

    theSecurePassword.AppendChar(

    "u")

    theSecurePassword.AppendChar(

    "p")

     

    theSecurePassword.AppendChar("á")

     

    theSecurePassword.AppendChar("s")

     

    'Inicializacin de ProcessStartInfo

    theProcessStartInfo.FileName = cmmd

     

    'Si la variable de parametros no est vaca, se asigna a los Argumentos de ProcessStartInfo

     

    If (prmt <> "") Then

    theProcessStartInfo.Arguments = prmt

     

    End If

     

    'Datos de Atenticasin de Usuario

     

    'theProcessStartInfo.Domain = "si es por dominio aqui va el nombre"

    theProcessStartInfo.UserName =

    "aqui va el usuario"

    theProcessStartInfo.Password = theSecurePassword

     

    'Se deshabilita la opcion de ejecucin como Shell del Sistema

    theProcessStartInfo.UseShellExecute =

    False

    theProcessStartInfo.CreateNoWindow =

    False

     

    'Intentamos correr la aplicacin

     

    Try

     

    'Se inicializa el proceso con los Datos recolectados

    System.Diagnostics.Process.Start(theProcessStartInfo)

     

    Catch ex As Exception

     

    'Si no se puede ejecutar, mandamos el mensaje de error

    MsgBox(

    "No se puede completar la operacin, consulte con el rea de Soporte Sistemas para mayor informacin" & vbNewLine & vbCrLf & ex.Message, MsgBoxStyle.Exclamation, "Error")

     

    End Try

     

    'Se cierra el proceso sin mostrar resultados de pantalla

     

    End

     

     

    End Sub

    End

    Class

     

    Tuesday, April 26, 2011 2:16 AM
  • super interesante esta opcion, lo que esta en marron, es lo que tengo que rellenar verdad???
    Wednesday, April 27, 2011 10:18 PM
  • Hola todos!

     

    me pueden ayudar...como hago para dar privilegios de resetear pass y subir PCs a dominio a usuarios dentro del dominio.

    No como domian admin, sino solo para estas dos tareas...

     

    gracias!!

    Saturday, November 26, 2011 2:26 PM
  • alonsan, lo que preguntas no tiene relación con este hilo, ni se hace por directivas.

    Por favor, haz la pregunta en el foro de Directorio Activo

    Lo tienes en: http://social.technet.microsoft.com/Forums/es-ES/wsades/threads

     


    Guillermo Delprato - Buenos Aires, Argentina
    Visite Notas Windows Server
    MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.
    Saturday, November 26, 2011 3:01 PM
  • Saludos,

    Entiendo perfectamente a GEMABC tengo un problema exactamente igual ya que tengo en mi empresa que permitir a un usuario normal (sin privilegios) usar una aplicación que no fue diseñada para trabajar en Dominios con Active Directory (ay que todas las demás funcionan normal) y cada que se ejcuta saca miles de errores al querer modificar algunos archivos en Windows y otras rutas..., leo el foro y no veo algo claro como solucionarlo. Con la explicación mía y la de GemaBC me podrian colaborar. Mil gracias.

    Atentamente Andrés. 

    Thursday, June 14, 2012 11:04 PM
  • Hola Andrés, tienes tres soluciones posibles. Las primeras dos están en el hilo, la de Javier y la de JEFFERSON681

    Y la tercera que sería en realidad "la solución". Si tienes dos cosas que son incompatibles, debes elegir una :)
    Te recomendaría que veas con el desarrollador de la aplicación si tiene una versión compatible, o cambiar la aplicación.
    En particular la recomendación, es porque si tienes una aplicación que puede poner en peligro toda tu estructura, yo no dudaría

     


    Guillermo Delprato - Buenos Aires, Argentina
    Visite Notas Windows Server
    MVP - MCT - MCSE - MCSA
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    Friday, June 15, 2012 11:16 AM