none
Permisos de instalar programas sin ser Administrador Local en Windows 2003

    Pregunta

  • Hola que tal... requiero tener seguridad en servidores de Windows 2003. Lo que requiero es tener un usuario en todos mis servidores Windows 2003 que pueda administrar el servidor, sin tocar la parte de seguridad... es decir:

    Que el el usuario pueda hacer lo siguiente:

    1. Apagar y Reiniciar el Servidor
    2. Detener, iniciar y reiniciar servicios
    3. configurar las propiedades de la tarjeta de Red
    4. Instalar programas, controladores, agregar nuevo hardware etc.
    5. Compartir carpetas
    6. Sacar y meter equipos a dominio
    7. Etc..

    Todas estas actividades, pero sin que pueda crear usuarios locales, edicion de politicas locales, y que no pueda modificar y visualizar la audoria de seguridad.

    Hasta el momento lo he resuelto agregando el usuario al los grupo locales de PowerUsers (Usuarios Avanzados) y NetWork configurations, mas sin embargo no pueden instalar programas y/0 sacar equipos a dominio.

    no encuentro como hacer que puedan hacer las actvidades mencionadas sin ser usuarios Administrador local.

     

    Saludos y quedo en espera de sus comentarios

    miércoles, 17 de noviembre de 2010 1:25

Respuestas

  • Entonces me temo que no es posible; para un servidor, se necesita un administrador para lo que comentas; puedes delegar ciertos detalles, pero hacerlo "a la carta" como en este caso no sería viable; puedes mirar qué privilegios tiene por ejemplo un user del grupo operadores de copia, operadores de backup, etc.. y ver hasta dónde puedes llegar con ello, pero dejarlo tan específicamente, en un server, no es viable en ese aspecto
    -------- Salu2!! Javier Inglés - Microsoft Active Professional 2010
    miércoles, 17 de noviembre de 2010 16:53
  • Alejandro, además de lo que comenta Javier, prueba haciendo que la cuenta sea miembro del grupo local Operador de Servidor (Server Operator) a ver si te sirve.

    Un Server Operator es casi casi un admin, pero con ciertas restricciones

     


    Guillermo Delprato - Buenos Aires, Argentina
    MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.
    jueves, 18 de noviembre de 2010 11:04

Todas las respuestas

  • No es posible instalar software directamente sin ser administrador local (ya que sólo ellos tienen permisos para escribir en zonas que por seguridad el resto no pueden).

    Si quieres instalar software, puedes hacer que un usaurio normal y corriente del dominio pertenezca al grupo de administradores locales de los equipos usando los restricted groups o algún script de inicio de sesión que lo haga.

    La otra posibilidad es que uses algún software para generar paquetes de instalación desatendida en formato MSI y asignarlos o publicarlos por GPO


    -------- Salu2!! Javier Inglés - Microsoft Active Professional 2010
    miércoles, 17 de noviembre de 2010 7:32
  • Muchas gracias Javier por la info..

    Me sigue quedando una inquietud al respecto. Exactemente lo que quiero es tener un usuario, que de acuerdo a lo que dices debe ser Administrador Local para instalar programas, pero con la restriccion de que no pueda generar usuarios locales, que no le pueda cambiar la contraseña a ningun usuario, y que no pueda accesar a los eventos de seguridad.

    Esto es porque en mi organizacion, existe un area de seguridad como tal que se encarga de la gestion de usuarios en todos los servidores, pero existe otra area tambien de administracion de servidores que se encarga de administrar los servidores como tal y entre sus funciones principales es: instalar fix, reiniciar algun servicio, apagar los servidores en ventanas de mantenimiento, etc... pero no deben de gestionar la seguridad de los servidores

    Ojala me puedas apoyar..

    Saludos

    Ya tengo un usuario que tiene restricciones por medio de GPO, pero no encuentro alguna opcion donde le pueda denegar hacer logon en el servidor

     

    miércoles, 17 de noviembre de 2010 15:58
  • Si es un usurio de dominio, no tiene permisos nunca para acceder a ningún servidor ni  a sus eventos de seguridad, NUNCA; ese usaurio que es un usuario pelao y mondao, lo que va a ser es miembro del grupo de administradores locales de los puestos de trabajo de la OU que se necesiten (puestos de trabajo, no servidores); con ello en el dominio no tiene más permisos que los de cualquier otro usaurio, pero en local en las máquinas puede hacer de todo.


    -------- Salu2!! Javier Inglés - Microsoft Active Professional 2010
    miércoles, 17 de noviembre de 2010 16:01
  • Gracias Javier nuevamente

    Precisamente es lo que no quiero, que el usuario que es administrador local de un servidor, no pueda hacer todo...

    Es decir es posible limitar los privilegios de un usuario administrador, y me refiero a limitar que no pueda gestionar la seguirdad del servidor como crear usuarios.

     

    O bien un usuario que no sea administrador, pero que si pueda instalar programas...

     

     

    miércoles, 17 de noviembre de 2010 16:11
  • Entonces me temo que no es posible; para un servidor, se necesita un administrador para lo que comentas; puedes delegar ciertos detalles, pero hacerlo "a la carta" como en este caso no sería viable; puedes mirar qué privilegios tiene por ejemplo un user del grupo operadores de copia, operadores de backup, etc.. y ver hasta dónde puedes llegar con ello, pero dejarlo tan específicamente, en un server, no es viable en ese aspecto
    -------- Salu2!! Javier Inglés - Microsoft Active Professional 2010
    miércoles, 17 de noviembre de 2010 16:53
  • Ok Javier

    Ya me queda un poco mas claro.. voy hacer pruebas, y les comento los resultados

    Saludos

    miércoles, 17 de noviembre de 2010 17:19
  • Alejandro, además de lo que comenta Javier, prueba haciendo que la cuenta sea miembro del grupo local Operador de Servidor (Server Operator) a ver si te sirve.

    Un Server Operator es casi casi un admin, pero con ciertas restricciones

     


    Guillermo Delprato - Buenos Aires, Argentina
    MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.
    jueves, 18 de noviembre de 2010 11:04