none
Equipos en Dominio en el Active Directory RRS feed

  • Pregunta

  • Buenas Tardes:

    Con anterioridad para meter un equipo en dominio, necesitaba introducir las credenciales de Administrator, ahora cualquier usuario que creo como DOMAIN USER, (boton derecho crear nuevo usuario, se le asigna el nombre, password y finalizar), puede meter equipos en dominio y efectivamente la pc o lap top si se registra en el dominio.

    Me pueden apoyar?, ya que sólo debe de funcionar con el de administrator.

    Gracias y Saludos!

    miércoles, 16 de mayo de 2012 21:27

Respuestas

  • Hola,

    Efectivamente, por defecto cualquier usuario autenticado puede añadir hasta un máximo de 10 estaciones al dominio. El setting lo puedes modificar desde la default domain controller policy.

    Revísate este documento -> http://technet.microsoft.com/es-es/library/cc780195(v=ws.10).aspx

    Elimina el grupo usuarios autenticados del setting "add workstations to the domain" y sustituyelo p.ej. por domain admins.

    saludos.

    Julio Rosua

    MCP / MCSA / MCSE Engineer

    • Marcado como respuesta Lucifer14 lunes, 11 de junio de 2012 21:26
    miércoles, 16 de mayo de 2012 22:49
  • Te indico los pasos:

    - Abre desde ejecutar gpmc.msc

    - Cuando se abra la consola de Políticas, depliega la carpeta "objeto directiva de grupo"

    - Selecciona la GPO "Default Domain Controller Policy", botón derecho y editar configuración

    - Selecciona la sección Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment\

    En el menu derecho verás una configuración llamada "Add workstations to the domain", si haces doble click, en el listbox está por defecto "authenticated users".

    Sustituye este valor por domain admins o lo que consideres.

    Con esto debería bastar, espera unos minutos a que replique y verifica que un usuario normal no puede unir equipos al dominio.

    Un saludo.

    Julio Rosua

    • Marcado como respuesta Lucifer14 lunes, 11 de junio de 2012 17:48
    jueves, 17 de mayo de 2012 22:04
  • Hola,

    Sumado a lo que comenta Julio, chequea el ACL de la OU Computers (OU por default si no realizaste una redireccion a otra OU para que le apliquen politicas, si esto fue realizado, chequear el ACL de la OU a la que redireccionaste), chequeando los permisos del ACL ya que en algunos casos, tambien hay administradores que modifican los permisos por ahi en lugar de GPO (no es lo correcto, pero es una posibilidad que puedes chequear en caso de que por GPO aun siga cualquier usuario poniendo maquinas en dominio).-

    Salu2


    Leonardo Ponti
    MCTS: Microsoft Certified Technology Specialist
    MPN: Microsoft Partner Network
    MCC: Microsoft Community Contributor 2011
    MCSE: Microsoft Certified Systems Engineer (Windows Server 2003)
    MCSA: Microsoft Certified Systems Administrator (Windows Server 2003)
    MVA: Microsoft Virtual Academy
    MAP: Microsoft Active Professional (2010/2011)

    Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho. Ud. asume los riesgos.
    This posting is provided "AS IS" with no warranties, and confer no rights. You assume all risk for your use.

    • Marcado como respuesta Lucifer14 lunes, 11 de junio de 2012 21:27
    jueves, 17 de mayo de 2012 23:14
    Moderador

Todas las respuestas

  • Hola,

    Efectivamente, por defecto cualquier usuario autenticado puede añadir hasta un máximo de 10 estaciones al dominio. El setting lo puedes modificar desde la default domain controller policy.

    Revísate este documento -> http://technet.microsoft.com/es-es/library/cc780195(v=ws.10).aspx

    Elimina el grupo usuarios autenticados del setting "add workstations to the domain" y sustituyelo p.ej. por domain admins.

    saludos.

    Julio Rosua

    MCP / MCSA / MCSE Engineer

    • Marcado como respuesta Lucifer14 lunes, 11 de junio de 2012 21:26
    miércoles, 16 de mayo de 2012 22:49
  • Hola Julio, primero muchas gracias por tus comentarios pero:

    Ya he entrado al server del AD y he tecleado gpmc.msc, y de ahi ya me jhe perdido, donde puedo editar lo que comentas??

    Disculpa mi ignorancia.

    Mil gracias nuevamente y Saludos!


    Lucifer

    jueves, 17 de mayo de 2012 19:32
  • Te indico los pasos:

    - Abre desde ejecutar gpmc.msc

    - Cuando se abra la consola de Políticas, depliega la carpeta "objeto directiva de grupo"

    - Selecciona la GPO "Default Domain Controller Policy", botón derecho y editar configuración

    - Selecciona la sección Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment\

    En el menu derecho verás una configuración llamada "Add workstations to the domain", si haces doble click, en el listbox está por defecto "authenticated users".

    Sustituye este valor por domain admins o lo que consideres.

    Con esto debería bastar, espera unos minutos a que replique y verifica que un usuario normal no puede unir equipos al dominio.

    Un saludo.

    Julio Rosua

    • Marcado como respuesta Lucifer14 lunes, 11 de junio de 2012 17:48
    jueves, 17 de mayo de 2012 22:04
  • Hola,

    Sumado a lo que comenta Julio, chequea el ACL de la OU Computers (OU por default si no realizaste una redireccion a otra OU para que le apliquen politicas, si esto fue realizado, chequear el ACL de la OU a la que redireccionaste), chequeando los permisos del ACL ya que en algunos casos, tambien hay administradores que modifican los permisos por ahi en lugar de GPO (no es lo correcto, pero es una posibilidad que puedes chequear en caso de que por GPO aun siga cualquier usuario poniendo maquinas en dominio).-

    Salu2


    Leonardo Ponti
    MCTS: Microsoft Certified Technology Specialist
    MPN: Microsoft Partner Network
    MCC: Microsoft Community Contributor 2011
    MCSE: Microsoft Certified Systems Engineer (Windows Server 2003)
    MCSA: Microsoft Certified Systems Administrator (Windows Server 2003)
    MVA: Microsoft Virtual Academy
    MAP: Microsoft Active Professional (2010/2011)

    Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho. Ud. asume los riesgos.
    This posting is provided "AS IS" with no warranties, and confer no rights. You assume all risk for your use.

    • Marcado como respuesta Lucifer14 lunes, 11 de junio de 2012 21:27
    jueves, 17 de mayo de 2012 23:14
    Moderador
  • Hola!!

    Ya he realizado lo que me comentas y he intentado con algunas cuentas que pertenecen al Domain User, y me envia el siguiente error:

    Incluso en equipos nuevos que se han desempacado y jamas habían estado en dominio.

    Me quedo tranquila porque al parecer ya no pueden meter usuarios comunes equipos en dominio, pero aún así si creo una cuenta adicional que tenga unicamente privilegios para meter equipos de computo a dominio con al grupo de Domain Controller, envia el mismo error.

    Me pueden ayudar??

    Mil gracias de antemano.

    Saludos!!


    Lucifer

    martes, 22 de mayo de 2012 19:52
  • Hola,

    Domain Controller no es quien pone el equipo en dominio, con lo cual, que dicho grupo tenga permisos sobre el objeto que creas, no estas dando el permiso, para chequear que este todo bien, en el manage del objeto al crearlo como computer, tienes que poner el grupo de usuarios quienes queres que puedan poner el equipo en dominio, si ya tienes el objeto creado, tienes que ver el ACL del objeto computer, en la solapa de seguridad que este el grupo que quieres que pueda poner el equipo en dominio.

    Fuera del ejemplo que das, como te pasamos en post anteriores, tienes que ver en la GPO con setting "Add workstations to the domain" y en el ACL del contenedor default Computers (si no fue cambiado) que no figuren grupos de usuarios "generales".-

    Salu2


    Leonardo Ponti
    MCTS: Microsoft Certified Technology Specialist
    MPN: Microsoft Partner Network
    MCC: Microsoft Community Contributor 2011
    MCSE: Microsoft Certified Systems Engineer (Windows Server 2003)
    MCSA: Microsoft Certified Systems Administrator (Windows Server 2003)
    MVA: Microsoft Virtual Academy
    MAP: Microsoft Active Professional (2010/2011)

    Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho. Ud. asume los riesgos.
    This posting is provided "AS IS" with no warranties, and confer no rights. You assume all risk for your use.

    martes, 22 de mayo de 2012 20:37
    Moderador
  • Efectivamente como dice Leo, el DC no realiza en si mismo la operación, simplemente mantiene la base de datos sobre la que se ejecuta la acción.

    Si quieres disponer de una cuenta especifica para este rol añade en la misma política de la default domain controllers policy el nombre de usuario o grupo al que le quieras asignar esta funcionalidad.

    Ten en cuenta que estos cambios tardan un poco en replicarse si dispones de varios DCs, se paciente.

    Por otro lado, si creas el objeto previa vinculación como también comentaba Leo puedes seleccionar que usuarios/grupos podrán vincularlo al dominio:

    Espero que esto solucione tus dudas.

    UN saludo.

    Julio Rosua


    • Editado Julian Ros martes, 22 de mayo de 2012 20:58
    martes, 22 de mayo de 2012 20:56
  • En la siguiente nota tienes los procedimientos para aumentar el limite de 10, puedes utilizarla al contrario para limitar la cantidad de maquinas, agregar o quitar ACLs

    http://support.microsoft.com/kb/251335


    Sebastian del Rio - MCP - MCSA +S - MCSE +S - MCITP:Enterprise Administrator Buenos Aires - Argentina Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho. Ud. asume los riesgos

    martes, 22 de mayo de 2012 23:22
    Moderador
  • Muchas Gracias a todos por su gran ayuda y por su atención!

    Lucifer

    lunes, 11 de junio de 2012 20:01
  • Buenas Tardes,

    estuve leyendo el tema y me pareció muy bien apoyado, por eso solicito ayuda con un caso similar

    normalmente un usuario con privilegios puede ingresar una maquina al dominio, requiero configurar en mi dominio una política que no permita ingresar maquinas al dominio si no han sido creadas en el AD, es decir si alguien solicita una maquina, se debe crear primero el nombre en el ad en una OU de maquinas, cuando la instalen y le pongan el nombre de la maquina y la quieran ingresar al dominio el sistema valide en el AD si esta creada, de no ser así no le permite ingresar al dominio

    alguien sabe 

    Gracias


    Esteban Vinasco

    miércoles, 4 de julio de 2012 21:18
  • Para evitar que un "usuario normal" no pueda crear cuentas de máquina en el dominio (se crea al unirla) tienes la respuesta en el mensaje de Julio Rosua del "miércoles, 16 de mayo de 2012 22:49" en este hilo

    Por supuesto que no debes eliminar ese privilegio a los administradores

    A los administradores no hay forma de limitarlos :)

     


    Guillermo Delprato - Buenos Aires, Argentina
    Visite Notas Windows Server
    MVP - MCT - MCSE - MCSA
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    miércoles, 4 de julio de 2012 22:33
    Moderador
  • Guillermo

    Muchas Gracias por tu respuesta, tienes razón yo ya aplique la recomendación de un grupo que ingrese máquinas al dominio y en este momento solo un grupo "soporte en sitio" lo puede hacer, pero ellos pueden ingresar máquinas que no hayan sido creadas antes en el directorio activo y me han solicitado condicionar que si la maquina no es creada manualmente con anterioridad en el AD no le permita matricularse, es decir cuando el soporte en sitio quiera ingresar la maquina al dominio con sus credenciales, el sistema antes vaya y verifique si existe en el ad, si no existe no le permite ingresar

    espero haberme hecho entender

    Gracias


    Esteban Vinasco

    jueves, 5 de julio de 2012 13:09
  • Hola,

    Para realizar lo que necesitas, tienes que modificarlo mediante ACL de OUs, dando el permiso que necesitas, sobre la OU Computers o la default que tienes donde se generan los objetos Computadoras al ponerlas en dominio, propiedades de la OU, solapa Seguridad, vas a opciones avanzadas y para el grupo que fue designado para la tarea, asignas "computer Object" Full Control y chequear que el mismo, NO tenga en "Este objetos y todos los secundarios" permisos para "Crear computadoras".

    Por otro lado, sobre todas las OUs donde hayan objetos computadoras, el grupo tiene que tener permisos "Full Control" o si lo deseas limitar, puntualmente el ponder modificar objetos computadoras.-

    Como tambien comenta Guillermo, es importante tener presente que esto lo puedes aplicar sobre el nuevo grupo, los que sean administradores no se los puede limitar.-

    Espero haberme expresado bien, sino avisame y adjunto pantallas.-

    Salu2


    Leonardo Ponti
    MVP: Directory Services
    MCTS: Microsoft Certified Technology Specialist
    MPN: Microsoft Partner Network
    MCC: Microsoft Community Contributor 2011
    MCSE: Microsoft Certified Systems Engineer (Windows Server 2003)
    MCSA: Microsoft Certified Systems Administrator (Windows Server 2003)
    MVA: Microsoft Virtual Academy
    MAP: Microsoft Active Professional (2010/2011)

    Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho. Ud. asume los riesgos.
    This posting is provided "AS IS" with no warranties, and confer no rights. You assume all risk for your use.

    jueves, 5 de julio de 2012 14:20
    Moderador
  • Leo

    Muchas gracias, perdona mi insistencia en el tema, entonces yo con la configuración que me indicas aseguro que cuando el soporte en sitio que tiene permisos para ingresar maquinas al dominio trate de ingresar una que no haya sido creada anteriormente en el AD no lo permita?

    sucede que en el directorio hay varias OU de computadores ya que son varias empresas, lo que normalmente se hace cuando el soporte ingresa la maquina ella se crea automáticamente en la OU Computadores que viene por defecto y luego se mueve manualmente a la OU que corresponda, lo que se requiere para organizar, es que antes de ingresar la maquina al dominio yo la cree en la OU de la empresa que corresponda, luego el soporte en sitio la ingrese al dominio, el sistema revisa en el directorio si la maquina existe en alguna OU, de ser asi le permite matricularse, si no, no lo permite

    de verdad muchas gracias por las respuestas


    Esteban Vinasco

    jueves, 5 de julio de 2012 15:03
  • Hola,

    Tal cual, de la forma que te comento, solo modificando el ACL, a los soportes le permitira ingresar maquinas al dominio, siempre y cuando el objeto ya exista, de no existir, le aparecera acceso denegado..

    Si tienes muchas OUs con objetos computers, tendras que tomarte por unica vez, el trabajo fino de agregar dicho permiso, ya que si te falta en algun lado, si tendras inconveniente de que no podran agregar equipos en dominio aunque dicho objeto exista.-

    Salu2


    Leonardo Ponti
    MVP: Directory Services
    MCTS: Microsoft Certified Technology Specialist
    MPN: Microsoft Partner Network
    MCC: Microsoft Community Contributor 2011
    MCSE: Microsoft Certified Systems Engineer (Windows Server 2003)
    MCSA: Microsoft Certified Systems Administrator (Windows Server 2003)
    MVA: Microsoft Virtual Academy
    MAP: Microsoft Active Professional (2010/2011)

    Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho. Ud. asume los riesgos.
    This posting is provided "AS IS" with no warranties, and confer no rights. You assume all risk for your use.

    • Propuesto como respuesta evinasco jueves, 5 de julio de 2012 18:08
    jueves, 5 de julio de 2012 15:16
    Moderador
  • Hola Leo, perdón que me meta en la conversación

    Si cuando se crea previamente la cuenta de máquina en una OU, en el asistente se especifica quién la puede agregar, no hace falta modificar las ACLs, va directo

    ¿O no entendí algo?

     


    Guillermo Delprato - Buenos Aires, Argentina
    Visite Notas Windows Server
    MVP - MCT - MCSE - MCSA
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    jueves, 5 de julio de 2012 18:11
    Moderador
  • Hola Guille!

    No es molestia para nada que estes en este tema, obviamente que como bien vos decis, al crear el objeto si se especifica el usuario o el grupo que realizaria el join, tambien funcionaria, el tema del ACL, lo comente para que ya quede definitivo (se agregue o no al crear el objeto) y para los objetos computadoras que ya existan en el dominio previo a este cambio.-

    Abrazo!


    Leonardo Ponti
    MVP: Directory Services
    MCTS: Microsoft Certified Technology Specialist
    MPN: Microsoft Partner Network
    MCC: Microsoft Community Contributor 2011
    MCSE: Microsoft Certified Systems Engineer (Windows Server 2003)
    MCSA: Microsoft Certified Systems Administrator (Windows Server 2003)
    MVA: Microsoft Virtual Academy
    MAP: Microsoft Active Professional (2010/2011)

    Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho. Ud. asume los riesgos.
    This posting is provided "AS IS" with no warranties, and confer no rights. You assume all risk for your use.

    jueves, 5 de julio de 2012 18:19
    Moderador
  • Muy buenas queridos amigos lo he intentado y sigue permitiendo  entrar equipos al dominio con un usuario no administrador 
    miércoles, 3 de junio de 2015 15:26