none
Apagar un Controlador de dominio con usuario normal RRS feed

  • Pregunta

  • Hola a todos!

    Tengo un Controlador de dominio Windows Server 2012 y necesito que un usuario del dominio  normal (No es administrador de su maquina y mucho menos del dominio) , pueda apagar ese controlador de dominio.

    La idea es que el usuario no inicie sesion en el Controlador de dominio.

    Habia pensado en crear un archivo.cmd con el comando shutdown para que el usuario lo ejecute cuando quiera apagar el servidor.

    El archivo.cmd seria este:

    shutdown /s /m \\srv.dominio.local /t 00

    Donde srv.dominio.local es el controlador de dominio

    En las politicas de grupo a nivel de 'Default domain controller policy' le he dado al usuario de dominio que quiero que pueda apagar el Comanin controller los Privilegios de usuario:

    -'Apagar el sistema'

    -'Forzar el apagado del sistema a partir de un sistema remoto' (O algo asi, esta traducido del ingles)

    He realizado los GPUPDATEs correspondientes.

    Pero el usuario cuando ejecuta 'shutdown /s /m \\srv.dominio.local /t 00', el controlador de dominio me devuelve el error 'Acceso denegado 5'

    El usuario necesita algun privilegio mas?

    Muchas gracias!!!



    • Editado Jamoncito martes, 9 de junio de 2015 18:00
    martes, 9 de junio de 2015 17:35

Respuestas

  • Hola Guillermo:

    Cuando respondí a Pedro donde dije 'Default domain Policy' queria haber dicho 'Default Domain Controller Policy'.. Realmente es facil equivocarse aqui :)

    Ya he conseguido que funcione. El problema es que en realidad no le dí los privilegios al usuario en la "Default Domain Controllers Policy" directamente, sino que creé una GPO nueva con los privilegios del usuario y  apliqué esa GPO a la OU "Domain Controllers" porque no me gusta modificar las GPOs default.

    Pero dando los privilegios directamente en "Default Domain Controllers Policy" funciona sin problemas.

    Gracias

    • Marcado como respuesta Jamoncito lunes, 15 de junio de 2015 19:58
    lunes, 15 de junio de 2015 19:58

Todas las respuestas

  • He probado exactamente las configuraciones que comentas, por las dudas si existiera algún requerimiento más, o algún bug, pero no, funcionó correctamente

    ¿Quizás falte hacer un GPUPDATE en el Controlador de Dominio?

    O por una de esas casualidades ¿estás seguro que es la Default Domain Controllers policy, y no la Default Domain policy?

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCT - MCSE - MCSA-2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    martes, 9 de junio de 2015 19:52
    Moderador
  • Jamoncitoo !! saludos exiliados ;;))

    Yo creo que si da acceso denegado es que aun sigue sin permisos sobre el DC o sobre poder ejecutar el .cmd en su propio PC en el cual tampoco es admin.

    Tambien puede ser que aunque le hayas dado privililegios en el DC a traves de la GPO de DCs, puede que a traves de la Default Domain Policy se le este denegando el acceso por alguna opcion por defecto..

    Si todo lo demas esta bien intenta con script de Powershell.

    A ver si nos vemos pronto compadre :)

    Saludos !

    miércoles, 10 de junio de 2015 7:46
  • Hola Guillermo:

    Pues la GPO esta aplicada a Default Domain controllers.... No se que puede ser.

    Hiziste la prueba con Server 2012 y con un .cmd? o era .bat?

    El usuario al que diste pribilegios para apagar el server es un usuario normal del dominio y no es administrador de su computador?

    Volveré a intentarlo.

    En cualquier caso muchas gracias !!!

    lunes, 15 de junio de 2015 16:33
  • Buenas Pedro Angel:

    Pues Default Domain Policy esta por defecto salvo por los privilegios que le di al usuario, asi que no hay ninguna configuracion denegando acceso.

    El .cmd lo ejecuta sin problemas  a pesar de no ser admin de la maquina. Es el server el que devuelve un "denied access'

    Desde yá, agradezco su ayuda. 

    lunes, 15 de junio de 2015 16:40
  • Buenas Pedro Angel:

    Pues Default Domain Policy esta por defecto salvo por los privilegios que le di al usuario, asi que no hay ninguna configuracion denegando acceso.

    El .cmd lo ejecuta sin problemas  a pesar de no ser admin de la maquina. Es el server el que devuelve un "denied access'

    Desde yá, agradezco su ayuda. 

    Cuidado... :)

    No confundas "Default Domain Policy", con "Default Domain Controllers Policy"

    La GPO debe ser la "Default Domain Controllers Policy"

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCT - MCSE - MCSA-2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    lunes, 15 de junio de 2015 19:22
    Moderador
  • Hola Guillermo:

    Cuando respondí a Pedro donde dije 'Default domain Policy' queria haber dicho 'Default Domain Controller Policy'.. Realmente es facil equivocarse aqui :)

    Ya he conseguido que funcione. El problema es que en realidad no le dí los privilegios al usuario en la "Default Domain Controllers Policy" directamente, sino que creé una GPO nueva con los privilegios del usuario y  apliqué esa GPO a la OU "Domain Controllers" porque no me gusta modificar las GPOs default.

    Pero dando los privilegios directamente en "Default Domain Controllers Policy" funciona sin problemas.

    Gracias

    • Marcado como respuesta Jamoncito lunes, 15 de junio de 2015 19:58
    lunes, 15 de junio de 2015 19:58
  • Revisa en la consola de GPOs cuál es el resultado final de la aplicación de las GPOs a los DCs

    No sé cómo se comportará actualmente, pero por lo menos cuando se usaba W2000 y modificabas los derechos de usuario (Rights), no los "sumaba", sino que tomaba los de una GPO, o los de la otra, dependiendo de la prioridad de enlazado

    Por las dudas, no te vaya a traer problemas

    Además efectivamente es correcto lo de tartar de no modificar las GPOs por omission, pero a veces no queda más remedio


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCT - MCSE - MCSA-2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    lunes, 15 de junio de 2015 21:41
    Moderador