none
Asignar Privilegios a Grupo de Soporte Técnico a través del Active Directory RRS feed

  • Pregunta

  • Buenos días para todos.

    Escribo por esta vía ya que no soy conocedor del manejo de políticas en el Active Directory de Windows 2008 y necesito atender a una necesidad muy puntual.

    Para el equipo de soporte técnico de la empresa requiero crear un grupo en el Active Directory que tenga privilegios para hacer revisiones técnicas en las laptops de los usuarios, instalar o desintestinar programas, etc. No se desea que este grupo pueda tener acceso o control sobre el servidor o Active Directory, no debe tener el acceso que usualmente tiene un Administrador.

    En varias referencias de Internet me indican diferentes formas y pasos de hacerlo, sin embargo, siempre termina el usuario que pertenece al grupo en cuestión, pudiendo no solo administrar las laptops sino que también tiene el full access del administrador del AD.

    Si alguno me puede indicar la forma más simple de hacer esto se lo agradezco.

    De antemano gracias a los que puedan ayudar.

    viernes, 2 de junio de 2017 19:44

Respuestas

  • Para que las personas puedan instalar programas, reconfigurar el sistema, etc. tiene que ser administradores locales de las máquinas, que no es lo mismo que administradores del Dominio

    Cada máquina cliente del Dominio, tiene un grupo local Administradores, ahí es donde debe estar la cuenta

    Para implementar que un "Grupo Soporte" sea administrador de las máquinas clientes, se puede hacer automáticamente a través de una configuración llamada Grupos Restringidos ("Restricted Groups")

    En la siguientes notas tienes un paso a paso:

    Windows Server: Utilización de Grupos Restringindos (“Restricted Groups”)–Parte 1 de 2 | WindowServer:
    https://windowserver.wordpress.com/2015/10/20/windows-server-utilizacin-de-grupos-restringindos-restricted-groupsparte-1-de-2/

    Windows Server: Utilización de Grupos Restringindos (“Restricted Groups”)–Parte 2 de 2 | WindowServer:
    https://windowserver.wordpress.com/2015/10/27/windows-server-utilizacin-de-grupos-restringindos-restricted-groupsparte-2-de-2/

    Lo que debes tener cuidado es con la diferencia entre "este grupo es miembro de" (aditiva), y "miembros de este grupo" (restrictiva)

    Cuando quieres seleccionar un grupo local, no del Dominio, no hay que usar "Examinar", sino escribir el nombre directamente

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    • Propuesto como respuesta Moderador M lunes, 5 de junio de 2017 23:15
    • Marcado como respuesta Moderador M lunes, 12 de junio de 2017 17:09
    viernes, 2 de junio de 2017 20:52
    Moderador