none
Usuarios Locales administradores - gestion de password y control de uso RRS feed

  • Pregunta

  • Buenos días.

    Estoy buscando la forma de controlar que los usuarios locales de mis servers y equipos no sean modificados por técnicos o utilizados. Solo quiero definir un grupo particular pueda resetear las claves locales. Poseo administración via AD pero no estoy pudiendo restringir que solo mi grupo pueda cambiar las credenciales y que it pueda administrar localmente lo que precisen pero SIN poder cambiar el usuario local por default. (Tienen privilegios de administradores locales con sus usuarios de AD)

    Gracias por las sugerencias que puedan darme.

    Saludos.

    miércoles, 21 de diciembre de 2016 14:18

Respuestas

  • Lamentablemente mientras tenga privilegios de administradores locales de la máquina, no hay forma de limitarlos y que no pueda devolverse lo que le hayas quitado

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    • Propuesto como respuesta Moderador M miércoles, 21 de diciembre de 2016 21:42
    • Marcado como respuesta Moderador M lunes, 2 de enero de 2017 3:49
    miércoles, 21 de diciembre de 2016 18:49
    Moderador
  • A modo de acalaración, encontré una herramienta nativa de MS que me sirve para lo que necesitaba. LAPS. Adicionalmente encontré otros software de terceros que complementa lo seteado en LAPs.

    Recomendado para los que quieran monitorear lo que pasa con los administradores locales de los equipos.

    Saludos.

    • Marcado como respuesta JEL609 viernes, 27 de abril de 2018 18:18
    viernes, 27 de abril de 2018 18:17

Todas las respuestas

  • El problema se produce por estar en ambiente de Dominio, pero seguir usando cuentas locales, lo cual no es recomendable, multiplica el trabajo, y da lugar a los problemas que mencionas

    Lo recomendable, y una de las ventajas importantes de tener Dominio AD, es justamente mantener todas las cuentas centralizadamente

    Mientras los usuarios sean administradores locales, no puede restringirles absolutamente nada, cualquier privilegio que le quites se lo volverán a dar, inclusive si los "molestas" demasiado pueden sacar la máquina del Dominio, y lo que hagas por GPO no los afectará en absoluto

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    miércoles, 21 de diciembre de 2016 14:44
    Moderador
  • Gracias por el retorno. En realidad se precisa que tengan administración local ya que utilizan cuando un equipo debe ser modificado el dominio o bien para verificar incidentes que requieran el acceso. Sin este privilegio no podrían realizar configuraciones a programas o cambios.

    Si existe otra forma, estaría espectacular.

    miércoles, 21 de diciembre de 2016 16:32
  • Lamentablemente mientras tenga privilegios de administradores locales de la máquina, no hay forma de limitarlos y que no pueda devolverse lo que le hayas quitado

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    • Propuesto como respuesta Moderador M miércoles, 21 de diciembre de 2016 21:42
    • Marcado como respuesta Moderador M lunes, 2 de enero de 2017 3:49
    miércoles, 21 de diciembre de 2016 18:49
    Moderador
  • Gracias. Y como debo setear para que puedan adminstrar los técnicos sin ser parte de grupo locales administrator?. Hoy en dia cada uno tiene su usuario identificable pero por políticas del AD incluyo a esos usuarios en grupos creados para administración que finalmente integran los grupos locales de administrador.

    No me queda claro como podría hacerlo de otra forma.

    Muchas gracias

    miércoles, 5 de abril de 2017 16:10
  • Por lo que yo entiendo de la pregunta: "Que los administradores locales de los equipos no puedan crear/modificar/borrar usuarios locales" no existe esa posibilidad

    Tampoco existe la posibilidad de delegar "instalar programas", o hacer cambios en la configuración que afecten a todos los usuarios

    Hay una "regla práctica" todos los administradores tienen que ser "gente confiable" :)

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    • Propuesto como respuesta Moderador M lunes, 10 de abril de 2017 17:23
    miércoles, 5 de abril de 2017 21:05
    Moderador
  • A modo de acalaración, encontré una herramienta nativa de MS que me sirve para lo que necesitaba. LAPS. Adicionalmente encontré otros software de terceros que complementa lo seteado en LAPs.

    Recomendado para los que quieran monitorear lo que pasa con los administradores locales de los equipos.

    Saludos.

    • Marcado como respuesta JEL609 viernes, 27 de abril de 2018 18:18
    viernes, 27 de abril de 2018 18:17