none
administradores de ALGUNAS maquinas y usuarios RRS feed

  • Pregunta

  • Buenas tardes a todos:

    Necesito que me den pistas para resolver lo siguiente (y a partir de ahi empezar a googlear con más concreción).

    Sea un AD funcionando correctamente

    Sean las siguientes UO :: UO1, UO2 y UO3. En cada UO hay varios usuarios, varias máquinas y un sysUO1, sysUO2 y sysUO3 respectivamente

    Necesito que  sysUO1 puedan instalar cualquier tipo de software en las máquinas asociadas a esa UO1.

    1. No sé cómo tengo que crear (a qué grupo debe pertenecer, administrador local o no .,.,..) esos sysUO
    2. Me gustaría que cuando desde un usuario SIN privilegios instalamos algo, y pide usuario y contraseña, poniendo éste usuario sysUO fuera suficiente

    Quedo abierto a cualquier sugerencia.

    Un saludo y muchísimas gracias /y disculpen por la simpleza de la pregunta, pero estoy empezando .../

    miércoles, 11 de julio de 2012 15:19

Respuestas

  • Hola Mariano,

    Lo que debes hacer es configurar una GPO en cada OU vinculando los usuarios SysXXX como administradores locales de los objetos computer que estén dentro de estos contenedores.

    Si tu dominio es Windows 2003 Server:

    1. Crea un grupo de seguridad con los administradores locales (SYSXXX y cualquier otro user/group que debiera serlo...) 

    2. Crea una GPO y desde Configuración del equipo -> Configuración de Windows -> Configuración de seguridad -> Grupos restringidos dale a anadir y creas una regla que haga a este grupo  miembro del grupo administradores/administrators (en el siguiente ejemplo yo he hecho a domain users miembro de admins locales, tu deberías seleccionar el grupo quie contiene SYSXXX users):

    3. En los computers dentro del contenedor donde se vincula la GPO se añadirá al grupo administradores locales el grupo que contiene los administradores del dominio para estos objetos y podrán realizar estas tareas.

    Desde Windows 2008 con las group policy Preferences es bastante más sencillo:

    1. Crea la GPO, linkala y editala desde un DC W2008 o un W7 con RSAT.

    2. Desde la GPO, configuración del equipo -> Preferencias -> Configuración del Panel de Control -> Usuarios y grupos locales.

    3. Selecciona grupo local -> administradores y actualizar. Añade abajo los usuarios de dominio que deberán añadirse a los administradores locales (SYSXXX).

    Recuerda que si montas las preferences desde 2008 necesitas las client side extensions para que se carguen correctamente en WXP:

    http://www.microsoft.com/en-us/download/details.aspx?id=3628

    Un saludo.

    Julio Rosua


    miércoles, 11 de julio de 2012 15:59
  • Mariano

    Una opcion es crear un grupo que sea Soporteou1 soporteou2 soporteou3 (obvaimente agregar a los usuarios que quieras q adminsitren estas OU a cada grupo)

    Luego crear 3 gpo, cada una para agregar a c/ grupo como administradores locales de las computadoras.

    • Debes linkear una gpo en cada OU siguiendo la siguiente ruta:

    Computer Configuration|Preferences|Control Panel Settings|Local Users and Groups.

    Luego aca pones nuevo grupo

    Deberia quedarte algo asi:

    Nota: reemplaza domain por tu dominio

    Para mayor detalle:

    http://www.windowsecurity.com/articles/Creating-Managing-Local-Group-Servers-Desktops.html


    Moretti Maximiliano MCTS - MCITP MorettiMaxi.com.ar

    miércoles, 11 de julio de 2012 16:07
  • Si ejecutas:

    compmgmt.msc

    Y luego vas a "local users & groups"  y ahi abris el grupo "administradores" o administrators dependiendo del idioma de tu OS.

    Se agregaron los grupos o usuarios que querias agregar por gpo?


    Moretti Maximiliano MCTS - MCITP MorettiMaxi.com.ar

    jueves, 12 de julio de 2012 14:33
  • Si esta en el grupo "administradores" debria dejarte realizar las tareas que mencionas.

    Puede que otra gpo este restingiendo los permisos.

    Corre estos comandos para observar que gpo se esan aplicando tanto a la PC como al usuario::

    gpresult /s (ip/nombre de la maquina) /U administrator /P (contraseña)  /SCOPE COMPUTER /V >policy.txt  (sin los parentesis)

    gpresult /H gpo.html


    Moretti Maximiliano MCTS - MCITP MorettiMaxi.com.ar

    jueves, 12 de julio de 2012 16:13

Todas las respuestas

  • Hola Mariano,

    Lo que debes hacer es configurar una GPO en cada OU vinculando los usuarios SysXXX como administradores locales de los objetos computer que estén dentro de estos contenedores.

    Si tu dominio es Windows 2003 Server:

    1. Crea un grupo de seguridad con los administradores locales (SYSXXX y cualquier otro user/group que debiera serlo...) 

    2. Crea una GPO y desde Configuración del equipo -> Configuración de Windows -> Configuración de seguridad -> Grupos restringidos dale a anadir y creas una regla que haga a este grupo  miembro del grupo administradores/administrators (en el siguiente ejemplo yo he hecho a domain users miembro de admins locales, tu deberías seleccionar el grupo quie contiene SYSXXX users):

    3. En los computers dentro del contenedor donde se vincula la GPO se añadirá al grupo administradores locales el grupo que contiene los administradores del dominio para estos objetos y podrán realizar estas tareas.

    Desde Windows 2008 con las group policy Preferences es bastante más sencillo:

    1. Crea la GPO, linkala y editala desde un DC W2008 o un W7 con RSAT.

    2. Desde la GPO, configuración del equipo -> Preferencias -> Configuración del Panel de Control -> Usuarios y grupos locales.

    3. Selecciona grupo local -> administradores y actualizar. Añade abajo los usuarios de dominio que deberán añadirse a los administradores locales (SYSXXX).

    Recuerda que si montas las preferences desde 2008 necesitas las client side extensions para que se carguen correctamente en WXP:

    http://www.microsoft.com/en-us/download/details.aspx?id=3628

    Un saludo.

    Julio Rosua


    miércoles, 11 de julio de 2012 15:59
  • Mariano

    Una opcion es crear un grupo que sea Soporteou1 soporteou2 soporteou3 (obvaimente agregar a los usuarios que quieras q adminsitren estas OU a cada grupo)

    Luego crear 3 gpo, cada una para agregar a c/ grupo como administradores locales de las computadoras.

    • Debes linkear una gpo en cada OU siguiendo la siguiente ruta:

    Computer Configuration|Preferences|Control Panel Settings|Local Users and Groups.

    Luego aca pones nuevo grupo

    Deberia quedarte algo asi:

    Nota: reemplaza domain por tu dominio

    Para mayor detalle:

    http://www.windowsecurity.com/articles/Creating-Managing-Local-Group-Servers-Desktops.html


    Moretti Maximiliano MCTS - MCITP MorettiMaxi.com.ar

    miércoles, 11 de julio de 2012 16:07
  • 
    
    Pues siguiendo vuestras indicaciones, se crea el usuario como administrador local PERO no me deja instalar programas.
    
    Alguna cosa faltará ...
    
    PS1. he reiniciado la máquina cliente para que coja las directivas seguro sí o sí
    
    PS2. el server y los clientes son 2008
    
    PS3. estas recetas sirven para automatizar la asignacion de usuarios como administradores locales por GPO, correcto ¿?

    jueves, 12 de julio de 2012 9:57
  • Ya he descubierto una serie de temas, y los comparto con vosotros.

    [1] Si entro a una máquina como usuario que es administrador local, puedo instalar software o cambiar la IP (por ejemplo) SIEMPRE Y CUANDO la <configuración del control de cuentas de usuario> esté al MINIMO. Si la configuración esta <pordefecto> no deja.

    [2] Si entro a esa máquina con un usuario del dominio normal (con la configuración del control de cuentas al mínimo ) e intento instalar un software, no me pide las credenciales de administrador, simplemente da error (no tengo permisos suficientes ....). Pero si la configuración está pordefecto, me pide las credenciales y todo funciona ok

    Lo que yo pretendo es que estando en el caso.2, cuando intento instalar un programa, en lugar de que tenga que meterle el administrador del dominio, le pueda meter el administrador local y funcione.

    El tema es que deconozco si esto NO funciona por culpa de la <configuración del control de cuentas>-

    Un saludo y muchas gracias.

    
    jueves, 12 de julio de 2012 10:52
  • Si ejecutas:

    compmgmt.msc

    Y luego vas a "local users & groups"  y ahi abris el grupo "administradores" o administrators dependiendo del idioma de tu OS.

    Se agregaron los grupos o usuarios que querias agregar por gpo?


    Moretti Maximiliano MCTS - MCITP MorettiMaxi.com.ar

    jueves, 12 de julio de 2012 14:33
  • Hola Maxi.

    1. no puedo ejecutar como usuario administrador local compmgmt.msc (no tengo privilegios)
    2. pero si tecleo net localgroup administradores SI aparece el usuario.

    Saludos.

    jueves, 12 de julio de 2012 15:15
  • A ver si esto os ayuda a entender lo que está pasando.

    El usuario que está agregado al grupo administradores locales via GPO (tal y como me habéis indicado), no tiene permisos/privilegios para muchas tareas: cambiar IP, ejecutar el compmgmt.msc, instalar programas ... (pero SI deja reiniciar la máquina, signo inequivoco de que SI es administrador local)

    Pero es que TAMPOCO me muestra el popup para ingresar el usuario administrador para ejecutar esas tareas (como lo suele hacer con un usuario normal)

    Y una cosa más:

    Entrando como administrador del dominio a una máquina y como el usuario administrador local a la misma máquina (a la vez), tecleando net localgroup administradores veo al administrador <usuario> desde la sesión abierta por <usuario>. Desde la sesión abierta por administrador no se ve. Puede que este sea el comportamiento normal, pero lo anoto por si aporta algo.

    Un saludo.



    jueves, 12 de julio de 2012 15:28
  • Si esta en el grupo "administradores" debria dejarte realizar las tareas que mencionas.

    Puede que otra gpo este restingiendo los permisos.

    Corre estos comandos para observar que gpo se esan aplicando tanto a la PC como al usuario::

    gpresult /s (ip/nombre de la maquina) /U administrator /P (contraseña)  /SCOPE COMPUTER /V >policy.txt  (sin los parentesis)

    gpresult /H gpo.html


    Moretti Maximiliano MCTS - MCITP MorettiMaxi.com.ar

    jueves, 12 de julio de 2012 16:13