none
Usuario mediante GPO RRS feed

  • Pregunta

  • Hola a todos:

    Tengo una consulta, en un ambiente de dominio puedo hacer que un usuario de la red sea administrador del equipo al logearse en este, por ejemplo: tengo al usuario pipos666 y he comprado un equipo nuevo y quiero que al logearse este usuario automaticamente este sea administrador de este equipo sin ser domain controller, hay alguna gpo que me permita hacer esto?

    saludos.

    martes, 16 de enero de 2007 16:12

Respuestas

Todas las respuestas

  • Lo que deberias hacer en todo caso es hacer un logon script utilizando el comando net localgroup

    Ejemplo :

    net localgroup "administradores"  usuario /add

     

    Lo unico que deberias hacer es un archivo .bat por ejemplo con la sintaxis anterior, y ese script aplicarlo en las propiedades del usuario para que se asigne cuando inicie sesion.

     

    Slds
    Sebastian del Rio
    Buenas practicas para el uso de los foros
    Si la respuesta te fue de utilidad , marcala como respondida.

     

    martes, 16 de enero de 2007 19:27
    Moderador
  • Gracias Sebastian, ya lo intente pero me dice acceso denegado, hay una forma de que se puede un "ejecutar como", para que se ejecute con la cuenta de administrador de dominio y asi no niegue el acceso?
    martes, 16 de enero de 2007 20:16
  • Posiblemente pueda servirte hacerle "usuario avanzado" dentro de los grupo locales de la máquina.

     

    Salu2:)

    martes, 16 de enero de 2007 20:26
  • eso funcionaria, pero si yo quiero que una nueva persona que hasta hoy tiene cuenta de usuario en el dominio tenga priviliegios administrativos en cualquier máquina del dominio sin tener que crear el usuario en todas las máquinas
    martes, 16 de enero de 2007 22:16
  • Pero tio !!! ¿has visto que hora es?. Ok captado el mensaje prometo mañana ponerme a primera hora con ello. Si no se puede hacer por GPO te aseguro que te paso un procedimiento.

     

    Salu2:)

    martes, 16 de enero de 2007 22:22
  • jajaja, cierto, yo estoy en Nicaragua, acá son las 4:30 PM, se me pelo que ustedes van como 20 horas adelantados. jeje
    martes, 16 de enero de 2007 22:34
  • Aqui estamos de nuevo, perdona por el retraso. Pues lo hemos estado mirando y no se dispone de ninguna opcion que te permitra a traves de GPO realizar que un usuario, al iniciar sesión en una maquina, se agregue a un grupo en concreto de la máquina local.

    Como bien te comento, creo que Sebastian, lo podrías hacer asignado un script en el inicio de sesión de un usuario con el parametro net localgroup "administradores"  usuario /add , pero creo que comentaste te lo habias probado y no te funciono. Pues bien, se podía hacer algo parecido a :

    - Create un usuario en tu AD (addadmin) y asignale permisos de Domain Admins.

    - En la personalización de las propiedades de este usuario, creale un script que se ejecute en el inicio de la sesión con el parametro "net localgroup "administradores"  pepito6666 /add"

    - De esta manera cuando necesites que el usuario pepito6666 este includo en un grupo dentro de la máquina, el unico paso previo que tienes que realizar es, que primero debes de haber iniciado sesión en esta maquina con el usuario addadmin que ejecuta el scrit, incluye el usuario que tu marques en el grupo que tu le indiques de la maquina local y que cuando el usuario pepito6666 inicie sesión en esta maquina tendra los privilegios que le has asignado sobre ella.

    Parece un poco complejo, pero creo que seria una solución factible.

     

    Salu2:)

    miércoles, 17 de enero de 2007 12:03
  • no hay una forma de que al logearme como pepito6666 el script tenga un "un as addadmin" para que se agregue pepito6666?
    miércoles, 17 de enero de 2007 13:26
  • Se puede utilizar el comando Run as el problema es que al comando no se le puede agregar el password , entonces cuando lo utilizes requerira que alguien ponga el password correspondiente.
    http://www.microsoft.com/resources/documentation/windows/xp/all/proddocs/en-us/runas.mspx?mfr=true

    Hay una herramienta llamada sanur que es freeware que deja agregarle el password mediante un pipe, tambien hay varias herramientas pagas para esto.

    http://www.commandline.co.uk/sanur_unsupported/index.html

    De todas maneras me resulta raro que no te funcione.... El script lo asignastes por GPO o mediante el Perfil del usuario ?

    Slds
    Sebastian del rio
    Buenas practicas para el uso de los foros
    Si la respuesta te fue de utilidad , marcala como respondida.

    miércoles, 17 de enero de 2007 14:05
    Moderador
  • Totalmente de acuerdo con Sebastian, lo podrías ejecutar como Run As, pero cierto es que tendrías que colocar la contraseña.

    Salu2:)

    miércoles, 17 de enero de 2007 14:17
  • como GPO y en el perfil del usuario, voy a probar esa herramienta Sanur a ver que tal, luego les comento.
    miércoles, 17 de enero de 2007 19:02
  • De forma predeterminada el grupo Domain Admins, del Domain Controller, es agregado al grupo Administrators de forma local.  Por lo tanto, si necesitas que el usuario sea administrador de su PC, entonces en el Active Directory, agregalo al grupo de DOMAIN ADMINS.

     

    Nota importante.  El podrá ser administrador de CUALQUIER MAQUINA que pertenezca al dominio.

     

    www.zygno.com.mx

    México

    QK

    miércoles, 17 de enero de 2007 19:23
  • Qkita , siguiendo tu procedimiento el usuario seria Administrador de Dominio lo cual no es la intencion , lo que se quiere es hacer que el usuario sea administrador local de su maquina sin tener ningun privilegio en el dominio.

    Slds
    Sebastian del Rio
    miércoles, 17 de enero de 2007 19:31
    Moderador
  • Hola, quizas sea muy tarde para tu pregunta, si hay manera de aplicar por GPO, a maquinas del Dominio para que un usuario en especifico sea miembro de un grupo localmente en una maquina:

    Configuracion de Equipo, configuracion de Seguridad, grupos restringidos; aqui puedes especificar el grupo y los usuarios localmente a una maquina. Debes indcarle agregar grupo, en esta directiva, y elegir despues los usuarios

    jueves, 6 de diciembre de 2007 20:09


  • Si el usario esta en el dominio pero quieres que sea administrador de una sola maquina lo que debes hacer es iniciar la secion en dicha maquina con un administrador ya sea local o del dominio, luego debe irte a mi pc dar clic derecho luego seleccionar administrar, escoges grupos y usuarios, te vas a grupos seleccionas administradores y escoges al usuario que deseas ingresar como administrador local de la maquina

    Suerte
    viernes, 7 de diciembre de 2007 23:37