none
GPO para que ciertos usuarios/equipos puedan instalar o desinstalar dispositivos RRS feed

  • Pregunta

  • Buenos días.

    Tengo el siguiente problema.

    Necesito que en 4 equipos concretos del dominio o 4 usuarios(cuentas de dominio normales no admin) puedan acceder al administrador de dispositivos y desinstalar dispositivos. He estabo buscando información de como hacerlo pero la verdad es que no he encontrado nada que me sirva.

    El SO del DC es windows server 2008 standard y los clientes son equipos con XP.

    Agradecería cualquier ayuda o pista que me puedan aportar.

    Un saludo.

    miércoles, 24 de octubre de 2012 11:28

Respuestas

  • Hola,

    Para añadir los usuarios de dominio como administradores locales, deberás (desde cada estación) abrir el "administrador del equipo" (desde ejecutar, compmgmt.msc) y seleccionar Herramientas del sistemas -> Usuarios y grupos locales -> Grupos...

    Selecciona el grupo administradores, botón derecho y propiedades. Pulsa agregar e introduce los nombres de los usuarios de dominio, o el grupo de seguridad al que estos pertenecen. Asegúrate que en el textbox de "Desde esta ubicación" tienes seleccionado tu dominio.

    Con esto, los usuarios de dominio podrán realizar tareas de administración en los equipos.

    saludos

    Julio Rosua

    • Marcado como respuesta mamp.vig miércoles, 31 de octubre de 2012 12:00
    miércoles, 24 de octubre de 2012 20:54

Todas las respuestas

  • Hola,

    Para realizar esta tarea vas a necesitar que las cuentas de estos usuarios sean administradores locales de las estaciones en cuestión.

    Si el ámbito son 4 estaciones, no creo que valga la pena realizarlo por GPO, con configurar en la SAM local de cada estación la cuenta de los usuarios como local Admin sería mas que suficiente.

    Si lo que quieres es que 4 cuentas de usuario sean administradores de n máquinas, puedes realizarlo añadiendo desde Group policy Preference las cuentas de usuarios como administradores locales

    Puedes revisarte este enlace para implementarlo http://www.grouppolicy.biz/2010/01/how-to-use-group-policy-preferences-to-secure-local-administrator-groups/ 

    Si no dispones de W2008, siempre puedes utilizar "Restricted Groups" para realizar lo mismo http://www.windowsecurity.com/articles/using-restricted-groups.html 

    En cualquiera de los casos, te recomiendo que crees un grupo de AD y lo añadas al grupo local administradores con cualquiera de los dos métodos anteriores, la funcionalidad es lo mismo pero en caso de querer añadir/quitar usuario bastará con modificar la membresía a nivel de AD.

    Saludos

    Julio Rosua

    miércoles, 24 de octubre de 2012 12:22
  • Hola Julio, gracias por tu respuesta.

    Para realizar la primera opción que me comentas, ¿como debería hacerlo?

    Es decir, estos usuarios son usuarios de Dominio. ¿Como los añado a la SAM local y desde que cuenta lo hago?

    Perdona que me he perdido un poco con tu respuesta y prefiero tenerlo todo claro.

    miércoles, 24 de octubre de 2012 14:27
  • Hola,

    Para añadir los usuarios de dominio como administradores locales, deberás (desde cada estación) abrir el "administrador del equipo" (desde ejecutar, compmgmt.msc) y seleccionar Herramientas del sistemas -> Usuarios y grupos locales -> Grupos...

    Selecciona el grupo administradores, botón derecho y propiedades. Pulsa agregar e introduce los nombres de los usuarios de dominio, o el grupo de seguridad al que estos pertenecen. Asegúrate que en el textbox de "Desde esta ubicación" tienes seleccionado tu dominio.

    Con esto, los usuarios de dominio podrán realizar tareas de administración en los equipos.

    saludos

    Julio Rosua

    • Marcado como respuesta mamp.vig miércoles, 31 de octubre de 2012 12:00
    miércoles, 24 de octubre de 2012 20:54
  • Muchas gracias por tu respuesta.

    ¿Habría alguna manera de darle permisos a esos usuarios para que solo puedan acceder al administrador de dispositivos para instalar/desinstalar dispositivos?

    Gracias!!

    viernes, 26 de octubre de 2012 6:36
  • Hola,

    Se que existe un método a través de GPO de permitir a usuarios no administradores la instalación de nuevos drivers para dispositivos identificando el GUID de éste en el setting de la politica (mas info http://technet.microsoft.com/en-us/library/cc725772.aspx )

    No creo que esto sea válido para la desinstalación aunque puedes probarlo, en cualquier caso, para desinstalar dispositivos no conozco ningún método que no sea ser administrador local.

    Quizás alguien más en el foro pueda aportar otro punto de vista.

    Saludos

    Julio Rosua

    viernes, 26 de octubre de 2012 7:11