none
Restringir privilegios usuarios RRS feed

  • Pregunta

  • Buena tarde,

    Tengo un AD Windows Server 2012, al cual me he dado cuenta que cualquier usuario de dominio puede agregar grupos u otros usuarios al grupo de administradores locales de las computadoras, como puedo hacer para limitar esta opción y que solo los administradores de dominio puedan hacer estos cambios.

    Gracias.

    martes, 24 de enero de 2017 17:29

Respuestas

  • Evidentemente ha quedado configurado algo de los "Restricted Groups"

    Esta configuración puede haber quedado en alguna de las GPOs que se han hecho, o en alguna de las dos que crea el sistema por omisión

    Pienso entonces que la solución pasaría por:

    - Eliminar todas las GPOs que hayas creado, no las dos por omisión

    - Volver a los valores por defecto de las dos predefinidas "Default Domain Policy" y "Default Domain Controllers Policy"

    Esto último se puede hacer con DCGPOFIX.EXE

    Dcgpofix
    https://technet.microsoft.com/en-us/library/hh875588(v=ws.11).aspx

     

    [Edito] Si con lo anterior no se soluciona, y teniendo en cuenta que recién lo estás armando, directamente comenzar de nuevo :)

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.



    jueves, 26 de enero de 2017 11:14
    Moderador

Todas las respuestas

  • Hola Galeano_GT, más que hacer, debe deshacer :)

    Si los usuarios pueden hacer eso es porque son administradores locales de los equipos, y es lo que permite que puedan administrar sus equipos

    Mientras sean administradores no puedes limitarlos, cualquier privilegio que les quites simplemente se lo volverán a dar ellos mismos

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    martes, 24 de enero de 2017 18:51
    Moderador
  • Hola, gracias por responder, te comento, ninguno de estos usuarios es administrador local o administrador de dominio, con cualquier usuario de dominio puedo modificar los usuarios o grupos del administrador local.

    Cada usuario pertenece únicamente al grupo Domain Users

    Saludos

    martes, 24 de enero de 2017 21:00
  • A ver si puedo ver más información para investigar el tema

    - ¿Qué versión de sistema operativo en el o los clientes?

    - Desde un CMD en sesión de usuario, ejecuta WHOAMI /GROUPS

    - Desde un CMD ejecuta NET LOCALGROUP ADMINISTRATORS o NET LOCALGROUP ADMINISTRADORES (El primero si está en inglés, el segundo si está en español). Si este comando te diera error, ejecútalo como administrador

    Pega por acá la salida de ambos comandos por favor

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    martes, 24 de enero de 2017 21:39
    Moderador
  • Buen dia, estos son los datos de los comandos:

    Los sistemas operativos son windows 7 y windows 2012 server


    Gracias

    miércoles, 25 de enero de 2017 14:06
  • Hola Galeano_GT, entiendo que estos comandos se han ejecutado en el cliente y además en la sesión del usuario ¿lo confirmas que es así?

    Suponiendo que es así, en la primera captura se puede ver que sí, es administrador local, fíjate que lista que es miembro de "BUILTIN\Administrators" y ese es el motivo por lo que puede administrar usuario locales, y mucho más

    El tema es averiguar cómo llegó ahí :)

    En esa máquina cliente revisa en "Computer Management / Groups / Administrators" a ver qué hay adentro. Puede ser la cuenta de usuario, o algún grupo de Dominio del que el usuario es miembro

    Algo más ¿estuvieron configurando "Restricted Groups" en el Dominio?

     

    Aparte, me llama la atención que pertenece también al SID "s-1-5-64-10" ya que indica que se autenticó usando NTLM, lo cual no debería suceder si el ambiente es de Dominio AD

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    miércoles, 25 de enero de 2017 14:50
    Moderador
  • Hola Guillermo, las imagenes son pruebas en un equipo logeado con el administrador local, en este caso al tratar de agregar un usuario al grupo de administradores locales, me pide autenticación, en teoría solo un administrador de dominio podría agregar usuarios, pero si ingreso cualquier usuario de dominio lo deja agregar sin problemas.

    Este es un usuario que se llama cafes, que solo pertenece al grupo de usuarios.

    Aca es donde me deja agregar un usuario al grupo local con las credenciales del usuario cafes.


    Te pongo en contexto, este es una instalación de dominio nueva, recién se crearon las cuentas de los usuarios, estamos en fase de implementación por lo que solo algunos equipos ya fueron agregados al dominio.

    Estos datos ya son de mi maquina:

    En el grupo de administradores local solo están creados los siguientes.

    Si se hicieron pruebas configurando el restricted groups para agregar un grupo de usuarios de helpdesk, de momento se elimino esta configuración.

    Estos son los datos de los comandos ejecutados desde mi equipo.

    Gracias

    miércoles, 25 de enero de 2017 17:55
  • Los comandos que puse antes, responden con la membresía en grupos del usuario que inició sesión localmente, y que está ejecutando el CMD

    Así que como puse antes, para tener datos válidos, hay que ejecutarlos con el usuario específico y en el CMD de la máquina

    O sea, en la máquina cliente, con el "usuario normal", abre un CMD, y ejecuta el WHOAMI /GROUPS
    Este comando devolverá los grupos a los que pertenece este "usuario normal", tanto de Dominio como locales

    Como comentario, en la última captura de pantalla no me dices qué usuario los ha ejecutado, y por lo tanto no puedo deducir ningún dato. Lo que veo es que pertence a HELPDESK, y en la última del mensaje anterior, HELPDESK está dentro de Administrators

    Si estuvieron "jugando" con "Restricted Groups", cuidado porque aunque deje de aplicarle la GPO, eso no saca la membresía en grupos que ya adquirió

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    • Propuesto como respuesta Moderador M miércoles, 25 de enero de 2017 18:56
    • Votado como útil Moderador M jueves, 26 de enero de 2017 18:10
    miércoles, 25 de enero de 2017 18:46
    Moderador
  • Gracias Guillermo, esta imagen que te envio es de un usuario logueado en una maquina con windows 10, no es administrador local y el usuario no pertenece a ningún otro grupo ademas del grupo domain users.

    el usuario es cgaleano

    miércoles, 25 de enero de 2017 20:13
  • Con ese usuario, y con la pertenencia a esos no debería haber forma de poder crear nuevos usuarios locales

    Si aún pudieras, que creo y espero no puedas :) te agrego una pregunta

    ¿Hay máquinas clonadas?

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    miércoles, 25 de enero de 2017 21:56
    Moderador
  • no Guillerno, no hay maquinas clonadas, el servidor es una instalación desde cero y la maquina cliente recien se le instalo windows 10.

    Te entiendo, yo también ya me canse de darle vueltas a este asunto y logro resolverlo, por eso opte por consultar quizás alguien ya había pasado por esto.

    Gracias por el apoyo.

    miércoles, 25 de enero de 2017 22:19
  • Evidentemente ha quedado configurado algo de los "Restricted Groups"

    Esta configuración puede haber quedado en alguna de las GPOs que se han hecho, o en alguna de las dos que crea el sistema por omisión

    Pienso entonces que la solución pasaría por:

    - Eliminar todas las GPOs que hayas creado, no las dos por omisión

    - Volver a los valores por defecto de las dos predefinidas "Default Domain Policy" y "Default Domain Controllers Policy"

    Esto último se puede hacer con DCGPOFIX.EXE

    Dcgpofix
    https://technet.microsoft.com/en-us/library/hh875588(v=ws.11).aspx

     

    [Edito] Si con lo anterior no se soluciona, y teniendo en cuenta que recién lo estás armando, directamente comenzar de nuevo :)

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.



    jueves, 26 de enero de 2017 11:14
    Moderador