none
administrador local RRS feed

  • Pregunta

  • generalmente en un dominio cuando a un usuario se le quiere dar privilegios de instalacion se hace administrador local pero aparentemente ese usuario pasa a ser administrador local de todos los equipos

    eso no se puede restringir o que el usuario sea administrador de su usuario solamente y no de todos ?

    se entiende ?

    porque en el trabajo tenemos esa discucion administramos un dominio

     

    viernes, 4 de junio de 2010 13:14

Respuestas

  • Hola Pablin,

    No entiendo del todo, primero hablas de todos los equipos y luego de todos refiriendote a los usuarios, pero te explico.

    Cuando un usuario de dominio es adminitrador local de una maquina, es decir que pertenece al grupo de administradores locales de la maquina (no del dominio), ese usuario tiene permisos para modificar y alterar cualquier configuracion o fichero de toda la maquina(y solo de esa maquina y ninguna mas) de manera que puede acceder a cualquier perfil de usuario almacenado en esa maquina y por lo tanto ver su contenido.

    Este comportamiento se puede restringir mediante la aplicacion  de permisos NTFS (contrarios a la norma) en los perfiles de usuario que desees proteger, pero requiere de un buen conocimiento sobre ello y ademas el usuario con privilegios administrativos siempre podra deshacer esa configuracion.

    Si lo que os preocupa es la perdida de privacidad en los perfiles, debereis replantear la necesidad de otorgar permisos de administrador a usuarios para que instalen aplicaciones e instalar vosotros las aplicaciones necesarias de una forma "corporativa" (mediante GPO por ejemplo) de manera que eliminais la necesidad de otorgar privilegios a usuarios que no necesitan.

    Saludos

     


    MCTS: Windows Server 2008 Active Directory, Configuring
    viernes, 4 de junio de 2010 13:58
    Moderador

Todas las respuestas

  • Hola Pablin,

    No entiendo del todo, primero hablas de todos los equipos y luego de todos refiriendote a los usuarios, pero te explico.

    Cuando un usuario de dominio es adminitrador local de una maquina, es decir que pertenece al grupo de administradores locales de la maquina (no del dominio), ese usuario tiene permisos para modificar y alterar cualquier configuracion o fichero de toda la maquina(y solo de esa maquina y ninguna mas) de manera que puede acceder a cualquier perfil de usuario almacenado en esa maquina y por lo tanto ver su contenido.

    Este comportamiento se puede restringir mediante la aplicacion  de permisos NTFS (contrarios a la norma) en los perfiles de usuario que desees proteger, pero requiere de un buen conocimiento sobre ello y ademas el usuario con privilegios administrativos siempre podra deshacer esa configuracion.

    Si lo que os preocupa es la perdida de privacidad en los perfiles, debereis replantear la necesidad de otorgar permisos de administrador a usuarios para que instalen aplicaciones e instalar vosotros las aplicaciones necesarias de una forma "corporativa" (mediante GPO por ejemplo) de manera que eliminais la necesidad de otorgar privilegios a usuarios que no necesitan.

    Saludos

     


    MCTS: Windows Server 2008 Active Directory, Configuring
    viernes, 4 de junio de 2010 13:58
    Moderador
  • Hola, Pablin:

    ... Y si me permites, maese López... indicar que normalmente los procesos de implementación de aplicativos y herramientas de terceros en las estaciones de trabajo lo llevan a cabo usuarios pertenecientes a un departamente concreto, cuya principal responsabilidad es garantizar la correcta puesta en marcha de los pasos / procedimientos indicados por el/los Administrador(es) corporativos.

    Desde mi humilde punto de vista, el problema de raíz proviene de la organización, ya que los usuarios finales tienden a usar los sistemas y herramientas corporativos como si fueran de su propiedad, dando erróneamente por hecho la posibilidad de modificar a su antojo los mismos. Mi recomendación para éstos casos se resume en delegar dichas tareas de implementación al departamento y/o usuarios delegados oficialmente por el Administrador y/o departamento responsable, en nadie más. Resultará duro y molesto (soy el primero en reconocerlo) pero la organización y resultados que conlleva hace que merezca la pena..

    ·
    Espero haberte servido de ayuda
    --------------------------------------------------------------------------------
    Desiderio Ondo | Ing. en Informatica
    Certificado MCSE | Certificado ITIL
    http://pantuflo.gsyc.es/~desitech

    • Propuesto como respuesta Desiderio Ondo miércoles, 9 de junio de 2010 9:25
    miércoles, 9 de junio de 2010 9:25