none
Active Directory - Mantener únicamente el usuario local Administrador por defecto RRS feed

  • Pregunta

  • Hola,

    Tengo una duda que seguro que me podeis ayudar:

    En la empresa en la que trabajo es necesario quitar a cualquier usuario local de cada uno de los PCs con permisos de administrador para ello usaremos una politica en el dominio restrictiva poniendo los usuarios que pueden seguir siendo administrador. Hasta aqui controlado.

    El problema o duda lo tenemos en que no sabemos como mantener el usuario administrador local de cada uno de los pcs en dicha politica para evitar problemas. 

    Cuando intentamos agregar el usuario en el grupo como hostname\Administrador o %hostname%\Administrador  da error.

    ¿Como lo podriamos hacer?





    • Editado DAndreuw miércoles, 19 de noviembre de 2014 11:27
    miércoles, 19 de noviembre de 2014 11:20

Respuestas

  • Hola, DAnreuw:

    Las cuentas de Administración predeterminadas en las estaciones de de trabajo MS WINDOWS no pueden ser eliminadas ni bloqueadas por diseño de desarrollo del Sistema Operativo. No tienes por qué preocuparte de que exista o no la cuenta de Administración. En todo caso, SI puedes cambiar el nombre de inicio de sesión por defecto, así como incluso cambiar/asignar una contraseña predeterminada (una vez más, por GPO a nivel de dominio). En la ruta del GPMC.msc del DC, "CONF.de.EQUIPO => POLITICAS => CONF.WINDOWS => CONF.SEGURIDAD => POLITICAS LOCALES => OPCIONES.SEGURIDAD" hay 2 directivas de nombre "Renombrar la cuenta de Administrador" y "Estado de la cuenta de Administrador", que puedes definir sus valores..

    Desiderio Ondo | Bachellor Science in Computer engineering | MCSE certified | ITIL certified | Exchange mailing certified

    • Propuesto como respuesta Moderador M miércoles, 19 de noviembre de 2014 17:27
    • Marcado como respuesta Moderador M jueves, 20 de noviembre de 2014 15:36
    miércoles, 19 de noviembre de 2014 14:54

Todas las respuestas

  • Hola, DAndreuw:

    Ante todo, una pequeña recomendación, compañero: a nivel administrativo, no es recomendable conceder privilegios de Administrador a las cuentas de usuario convencionales, ya que es un foco de riesgo en la garantía de funcionalidad de la estación de trabajo. Las cuentas con privilegios administrativos están concebidas con la idea de arreglar un problema técnico que se presentara en el sistema, no para el trabajo del día-a-dia.. Y lo que es más importante: cuando los usuarios "descubren" que tienen privilegios Administrativos, tienden a instalar cualquier herramienta/aplicativo/servicio sin preocuparse por los riesgos que pueden suponer ya sea en su propio sistema y lo que es peor, en la LAN corporativa. Por favor, tenlo en cuenta.

    Respondiendo directamente a tu consulta, puedes establecer por GPO que un usuario de dominio pertenezca al grupo local de Administradores de 2 formas desde la consola GPMCC.msc del DC:

    1.- En la ruta CONF.del.EQUIPO => POLITICAS => CONF.de.WINDOWS => CONF.SEGURIDAD => GRUPOS RESTRINGIDOS, donde podrás crear/agregar el grupo y/o usuarios independientes que desees all grupo BUILTIN/Administradores
    2.- En la ruta CONF.del.USUARIO => PREFERENCIAS => PANEL.de.CONTROL => USUARIOS y GRUPOS LOCALES, donde podrás agregar la cuenta de los usuarios que te "ponen" al grupo de Administradores locales.

    Más info:
    · How to Configure a Global Group to Be a Member of the Administrators Group on all Workstations:
    http://support.microsoft.com/kb/320065/en-us

    NOTA IMPORTANTE. Personalmente NO lo recomiendo. Que conste..

    Desiderio Ondo | Bachellor Science in Computer engineering | MCSE certified | ITIL certified | Exchange mailing certified

    miércoles, 19 de noviembre de 2014 11:52
  • Muchas gracias por tu aporte, pero creo que tal vez no haya explicado bien, lo que deseamos no establecer una GPO para el usuario de dominio administrador, sino establecer que el usuario administrador local de cada PC.

    En cada pc de la empresa hay un usuario administrador local generico con el cual si el dominio fallase podriamos validarnos. Es dicho usuario local de cada pc el que queremos mantener y agregar en la GPO pero desconozco como hacerlo dado que cada pc tiene su /hostname/Administrador.

    Saludos

    miércoles, 19 de noviembre de 2014 12:02
  • Hola, DAnreuw:

    Las cuentas de Administración predeterminadas en las estaciones de de trabajo MS WINDOWS no pueden ser eliminadas ni bloqueadas por diseño de desarrollo del Sistema Operativo. No tienes por qué preocuparte de que exista o no la cuenta de Administración. En todo caso, SI puedes cambiar el nombre de inicio de sesión por defecto, así como incluso cambiar/asignar una contraseña predeterminada (una vez más, por GPO a nivel de dominio). En la ruta del GPMC.msc del DC, "CONF.de.EQUIPO => POLITICAS => CONF.WINDOWS => CONF.SEGURIDAD => POLITICAS LOCALES => OPCIONES.SEGURIDAD" hay 2 directivas de nombre "Renombrar la cuenta de Administrador" y "Estado de la cuenta de Administrador", que puedes definir sus valores..

    Desiderio Ondo | Bachellor Science in Computer engineering | MCSE certified | ITIL certified | Exchange mailing certified

    • Propuesto como respuesta Moderador M miércoles, 19 de noviembre de 2014 17:27
    • Marcado como respuesta Moderador M jueves, 20 de noviembre de 2014 15:36
    miércoles, 19 de noviembre de 2014 14:54