none
Usuario del dominio como Admin. Local de DC y/o Member Server bajo 2003 RRS feed

  • Pregunta

  • Buenos días:

    Necesitaría saber como asignar los permisos en un Grupo de Seguridad (al cual tengo añadido un usuario), para que puedan logarse como administradores locales de las máquinas (o máquina), bajo un entorno de Dominio de W2003.

    Quiero crear un usuario para externos, que puedan manejar la máquina que les he asignado pero no puedar ser adminsitradores del dominio.

    Ya he modificado las GPO para que puedan iniciar sesión localmente, y a través de TS, pero necesito que sean administradores de la máquina.

    Creo que debe de ser mediante GPO, pero necesito concretar más, para que puedan ser admins locales, he leído algo de grupos restringidos, pero no lo entiendo muy bien, y de hecho he realizado lo que indican en los links de esos KB y no funciona.

    Muchas gracias de antemano.
    jueves, 21 de mayo de 2009 9:44

Respuestas

  • Buenos dias, 
    Es correcto deberias utilizar grupos restringidos , basicamente lo que manejas con esta politica son los miembros de los grupos que tu quieras manejar localmente. Entonces si tu agregas que el grupo administradores debe tener X miembros , los agregara o quitara segun existan al momento de aplicarse la politica

    Grupos restringidos de descripción de la directiva de grupo

    Slds
    Sebastian del Rio



    Saludos. Colabora con el foro y vota si el mensaje es util.
    • Marcado como respuesta Tsartitas martes, 26 de mayo de 2009 10:53
    jueves, 21 de mayo de 2009 12:20
    Moderador

Todas las respuestas

  • Buenos dias, 
    Es correcto deberias utilizar grupos restringidos , basicamente lo que manejas con esta politica son los miembros de los grupos que tu quieras manejar localmente. Entonces si tu agregas que el grupo administradores debe tener X miembros , los agregara o quitara segun existan al momento de aplicarse la politica

    Grupos restringidos de descripción de la directiva de grupo

    Slds
    Sebastian del Rio



    Saludos. Colabora con el foro y vota si el mensaje es util.
    • Marcado como respuesta Tsartitas martes, 26 de mayo de 2009 10:53
    jueves, 21 de mayo de 2009 12:20
    Moderador
  • Muchas gracias, Sebastian.

    Efectivamente el link que me has pasado es válido, pero he optado por no complicar este tema, y que dicha aplicacion se mueva del DC, puesto que no puedo estar asignando permisos de Domain Admin a un proveedor.

    Creo que es un fallo de seguridad tanto por parte de Microsoft en esa parte, como por parte de este cliente por haber decidido instalar esta aplicación con un SQL en un DC.

    Si yo te contara lo que hay que ver a veces....bueno...no te puedo contar mucho puesto que tu mismo habrás visto cosas increíbles en clientes.

    Muchas gracias por la ayuda, Sebastian.

    Saludos.
    martes, 26 de mayo de 2009 10:53
  • Es que no tienes que asignar permisos de Domain Admin , con grupos restringidos manejas los grupos locales de cada computador incluyendo o sacando miembros de los grupos locales. En este caso el usuario user@dominio sin ningun privilegio puede estar dentro del grupo Administradores de la maquina local que tu quieras , y eso no quiere decir que vaya a tener permisos de Domain Admin , solo que Localmente sera administrador de su computador.

    Slds
    Sebastian del Rio
    Saludos. Colabora con el foro y vota si el mensaje es util.
    martes, 26 de mayo de 2009 12:35
    Moderador
  • Es que no tienes que asignar permisos de Domain Admin , con grupos restringidos manejas los grupos locales de cada computador incluyendo o sacando miembros de los grupos locales. En este caso el usuario user@dominio sin ningun privilegio puede estar dentro del grupo Administradores de la maquina local que tu quieras , y eso no quiere decir que vaya a tener permisos de Domain Admin , solo que Localmente sera administrador de su computador.

    Slds
    Sebastian del Rio
    Saludos. Colabora con el foro y vota si el mensaje es util.
    Muchas gracias por responde Sebastian.

    Si yo habilito la GPO de grupos restringidos en la "Default Policy" del dominio.

    ¿ Ese grupo restringido por defecto sería administrador local de las máquinas? ¿es decir los usuarios que yo añada ahí?

    ¿Afectaría esto a los equipos que tiene en su SAM local a algunos usuarios como admins. locales de las máquinas?

    O bien esto debería de habilitarlo en la "Seguridad de los controladores del dominio?

    Como te he comentado, es en un DC, y por lo tanto SAM local la propia máquina no tiene, que no es un member server...

    Muchas gracias por tu ayuda, Sebastian.


    pd: aún así estoy luchando para que esta app sea migrada y me la quiten del DC, porque no puedo estar pendiente de usuarios para reiniciar este Server, para eso tengo PDC+ DCA , para que se puedan reiniciar los servidores y los usuarios no pierdan el poder hacer login en el domain.


    miércoles, 27 de mayo de 2009 9:54
  • Saludos.

    dando un poco de apoyo en la solucion a este problema comento:

    Creo que deberas crear una OU nueva y en ella colocar o ordenar todos los objetos pcs de la organizacion.

    Una vez creada la OU, creas una nueva GPO y se la asignas a la OU creada en donde residen los Computers.

    Aplicas la GPO solo al grupo Domain Computer.

    Debes de seguir los pasos dados por el amigo SEBASTIAN DEL RIO.

    Prueba y nos comentas los resultados.

    AHORA dejame responder las preguntas que formutastes:

    Si yo habilito la GPO de grupos restringidos en la "Default Policy" del dominio.

    ¿ Ese grupo restringido por defecto sería administrador local de las máquinas? ¿es decir los usuarios que yo añada ahí?

    Eso es correcto. Todo usuario que coloques o mejor aun grupo que coloques sera administrador de las estaciones de trabajo que se
    vean afectada por la politica.

    ¿Afectaría esto a los equipos que tiene en su SAM local a algunos usuarios como admins. locales de las máquinas?

    Si los afectaria, siempre y cuando sean tocadas por la GPO. Si lo deseas puedes sacar de la OU que te recomende crear esos equipos
    y darles un trato mas ligero , evitando asi que se vean afectada por las restricciones de grupo.

    Suerte y hablamos..

    -TFJR-
    jueves, 28 de mayo de 2009 18:12
  • Hola,
    Analizando un poco tu pregunta, creo que lo que debes hacer es esto:
     Vas a Inicio - Configuaraciones -Panel de Control - Cuentas de Usuario y saldrá una pantalla, por defecto verás el nombre de administrador con derechos de administrador, vas a ver los campos NOMBRE DE USUARIO - DOMINIO - GRUPO, ahi verás a tu usuario por defecto administrador - nombre de tu pc - administradores (ese dato ya lo vas a tener), luego haz clic en agregar, le colocas el nombre que creaste en el dominio como usuario normal, ejemplo: USER_1, abajo colocas el dominio DOMINIO_1 (todo esto te lo explico a modo de ejemplo) luego viene el nivel de acceso que le concederás a ese usuario, busca la opción que dice otros, ahi le pones como administradores, luego finalizar y tu usuario de dominio ya será administrador.
    Espero que te sirva.

    Saludos.

    Betto.-

    Betto
    miércoles, 3 de junio de 2009 20:33