none
Asignar privilegios de "Administrador local" a varios usuarios para varios servidores RRS feed

  • Pregunta

  • ·     Hola,

            Necesitamos que unos 10 usuarios tengan derecho para administrar unos 120 servidores (en total tenemos unos 500)por Terminal Sever

    Por lo que he visto y tal como indica en el siguiente enlace, creo que una de las formas de hacerlo es por GPO's agregando los usuarios a "Grupos Restringidos"

    http://www.mey-online.com.ar/blog/index.php/archives/hacer-a-un-usuario-admin-local-en-windows

    El problema de hacerlo por  GPO es que luego la GPO debe vincularse a la OU que aloje los servidores a los que queremos dar derecho de administración ..y  esto no nos sirve porque los 120 servidores están distribuidos por varias OU’s y en estas OU’s también hay servidores a los que NO queremos dar permiso de administración

    Aparte, todos los equipos son servidores y creo que tendríamos que aplicar el gpupdate/force a los 120 servidores para que se aplicaran las configuraciones (ya que casi nunca se reinician)

    Alguien sabe si hay un método más efectivo/rápido para dar dichos permisos de administración a varios servidores?  o la única forma seria hacer un script para añadir los usuarios al grupo "Administradores locales” del cada uno de los servidores?..

    Un script parecido a este ?

    http://www.activexperts.com/activmonitor/windowsmanagement/adminscripts/usersgroups/localgroups/

     

    En caso que solo se pueda hacer por script, alguien tiene un ejemplo de cómo se podría aplicar a todos los servidores? Para no tener que poner el nombre del servidor uno por uno..?..que de alguna forma se pueda alimentar de un .txt con todos los nombres de los servidores

     Gracias




    • Editado SistemasEx lunes, 19 de septiembre de 2011 13:51 correción titulo
    viernes, 16 de septiembre de 2011 9:09

Respuestas

  • Deberías asignarlo como Startup Script (de máquina) para que funcione en forma automática.
    NET LOCALGROUP habría que ejecutarlo localmente
    AGREGO: y luego des-asignar la GPO

    Personalmente no le veo la ventaja :-)
    Deberías asignar la GPO a los 120 servidores, y eso haría que los tengas que buscar uno por uno...
    Así que si ya los tengo seleccionados y en un grupo, lo haría por Restricted Groups directamente

    De todas formas si encuentras una mejor opción...
    Lo importante es no trabajar demasiado :-)

     


    Guillermo Delprato - Buenos Aires, Argentina
    Visite Notas Windows Server
    MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.
    viernes, 16 de septiembre de 2011 15:49
    Moderador

Todas las respuestas

  • Hola, SistemasEx:

    Un pequeño inciso, compañero.. No es correcta la definición "permisos de Administrador local por Terminal services", ya que las GPO se aplican a nivel de bosque, de dominio ó a nivel local. Es indiferenete que el usuario haga uso adicional del servicio TS.

    Respondiendo directamente a tu pregunta, el método más rápido consiste en acceder a la consola DSA.msc y desde ahí, agrega a los 100 bichos que señalas al grupo "Administrators" ubicado en el contenedor "BUILTIN". Ahora bien: que conste que no es recomendable en absoluto que un usuario tenga privilegios administrativos locales sobre una máquina (mucho menos si es un servidor) por ser una garantía absoluta de que tendrás problemas de funcionamiento el día de mañana..


    Desiderio Ondo | Bachellor Science in Computer engineering | MCSE 2k3 certified | ITIL certified
    viernes, 16 de septiembre de 2011 9:34
  • Gracias Desiderio por la explicación.

    Está solución la pensamos en un principio pero creo que no nos serviria porque lo que hariamos es darles privilegios  de administración a los 500 servidores que tenemos en el dominino..y solo queremos dar el privilegio para que puedan administrar 120 servidores de estos 500) por eso habiamos pensado en agregarlos de alguna forma al grupo de administrador local de cada servidor.

    Por otro lado soy consciente del riesgo que conlleva agregar usuarios como administrador local, pero en este caso no son usuarios normales, son 10 Administradores de sistemas de otro dominio (con el cual tenemos una relación de confianza establecida) que necesitan acceso a esta maquinas..

    Gracias

    viernes, 16 de septiembre de 2011 10:23
  • Hola, SistemasEx:

    Je! Si fuera juez, el hecho de que sean administradores de sistemas en otros dominios no les libraría de una larga condena en Alcatraz..

    Es cierto lo que señalas acerca de los privilegios en todos los servidores. Por ello mismo, existen otras 2 opciones perfectamente válidas:

    .- La primera opción es la que menos te pueda gustar y ya has señalado: reorganizar el DSA, con el matiz de generar una nueva sub-OU en cada ubicación que contenga los servidores afectados, a los que se podría linkar una GPO con la asignación de permisos señaladas..

    .- La otra opción pasa por hacer uso de la herramienta GPMC, pues permite establecer un filtrado de objetos de cuenta de usuario / máquina (e incluso grupos de asignación) a los que quieres que se apliquen. el proceso es muy intuitivo, y el apartado de filtrado viene establecido en la zona inferior de la solapa scope/rango. Sea como fuere, me temo que aquí tambien te tocará generar/configurar una GPO en el que establezcas los grupos y pertenencias desde "Conf. del equipo => Políticas => Conf. de Windows => Conf. de seguridad => Grupos restringidos" (tal y como señalas en tu primer post).

    No especificas la edición de tu <server>, por lo que en caso de que sea una distribución MS w2k3, deberás implementar la herramienta aparte desde el link oficial:

    Descarga de consola GPMC para MS w2k3:
    http://www.microsoft.com/download/en/details.aspx?id=21895


    Desiderio Ondo | Bachellor Science in Computer engineering | MCSE 2k3 certified | ITIL certified
    viernes, 16 de septiembre de 2011 11:27
  • ·     Hola,

            Necesitamos que unos 10 usuarios tengan derecho para administrar unos 120 servidores (en total tenemos unos 500)por Terminal Sever

    Por lo que he visto y tal como indica en el siguiente enlace, creo que una de las formas de hacerlo es por GPO's agregando los usuarios a "Grupos Restringidos"

    http://www.mey-online.com.ar/blog/index.php/archives/hacer-a-un-usuario-admin-local-en-windows

    El problema de hacerlo por  GPO es que luego la GPO debe vincularse a la OU que aloje los servidores a los que queremos dar derecho de administración ..y  esto no nos sirve porque los 120 servidores están distribuidos por varias OU’s y en estas OU’s también hay servidores a los que NO queremos dar permiso de administración

    Aparte, todos los equipos son servidores y creo que tendríamos que aplicar el gpupdate/force a los 120 servidores para que se aplicaran las configuraciones (ya que casi nunca se reinician)

    Alguien sabe si hay un método más efectivo/rápido para dar dichos permisos de administración a varios servidores?  o la única forma seria hacer un script para añadir los usuarios al grupo "Administradores locales” del cada uno de los servidores?..

    Un script parecido a este ?

    http://www.activexperts.com/activmonitor/windowsmanagement/adminscripts/usersgroups/localgroups/

     

    En caso que solo se pueda hacer por script, alguien tiene un ejemplo de cómo se podría aplicar a todos los servidores? Para no tener que poner el nombre del servidor uno por uno..?..que de alguna forma se pueda alimentar de un .txt con todos los nombres de los servidores

     Gracias





    Lo mejor es justamente con el uso de Grupos Restringidos, no hay dudas. Sobre el tema de si los debes reiniciar o no, quédate tranquilo que no es necesario. Las GPOs se reaplican automáticamente cada 90 a 120 minutos, y la que buscas no requiere reincio. Así que es sólo esperar el tiempo suficiente

    Con respecto a aplicarla a un grupo de servidores que están desperdigados a través de varias OUs, el tema se soluciona fácil :-)

    Creas un grupo y agregas las cuentas de servidor a dicho grupo. Luego enlazadas la GPO a nivel de Dominio, *pero* usas los permisos de seguridad eliminando Authenticated Users, y agregando al grupo en cuestión, con el permiso Allow Apply Policy
    Esto lo debes hacer en los permisos de la GPO.
    El sistema se conoce como "security filtering"

     


    Guillermo Delprato - Buenos Aires, Argentina
    Visite Notas Windows Server
    MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.
    • Propuesto como respuesta Cavallin Jorge viernes, 16 de septiembre de 2011 14:10
    viernes, 16 de septiembre de 2011 11:54
    Moderador
  • Gracias pro las soluciones..

    Se me ocurre una tercera opción que seria con comandos "net". Lo he probado localmente y funciona bien...

    Ejemplo:

    - En el DC creo un grupo de seguridad llamado :testAdmin
    - En dicho grupo "testAdmin" agrego como miembros a los 10 usuarios
    - Finalmente y a modo de prueba, en uno de los servidores ejecuto esta linia de comandos:

    net localgroup Administrators testAdmin /add

    Y con esto veo que los 10 usuarios ya peuden acceder correctamente al este servidor..

    Esta solución ya me seriviria..pero ahora me gustaria encontrar la forma de poder ejecutar este mismo comando de forma remota para que se aplique a uno o varios servidores..sin tener que ir server por server ejecutando esta linia..

    Quizá se pueda hacer un .bat que en el que se peuda pasar por parametros un .txt con un listado de los 120 servers.. 

    Ya me comenatreis si veis alguna opción..de todas formas sigo mirando y probando..

     

     

     

     

    viernes, 16 de septiembre de 2011 14:06
  • Deberías asignarlo como Startup Script (de máquina) para que funcione en forma automática.
    NET LOCALGROUP habría que ejecutarlo localmente
    AGREGO: y luego des-asignar la GPO

    Personalmente no le veo la ventaja :-)
    Deberías asignar la GPO a los 120 servidores, y eso haría que los tengas que buscar uno por uno...
    Así que si ya los tengo seleccionados y en un grupo, lo haría por Restricted Groups directamente

    De todas formas si encuentras una mejor opción...
    Lo importante es no trabajar demasiado :-)

     


    Guillermo Delprato - Buenos Aires, Argentina
    Visite Notas Windows Server
    MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.
    viernes, 16 de septiembre de 2011 15:49
    Moderador
  • Al final he probado la opción de hacerlo con comandos:

    psexec.exe @servers.txt net localgroup Administrators DOMINIO\MiGrupo /add

    y por Restricted Groups..

    y aunque las dos opcines funcionan... tal como comentais lo más facil y limpio es hacerlo por 'Restricted Groups'

    Gracias


    • Editado SistemasEx lunes, 19 de septiembre de 2011 13:52 correción
    lunes, 19 de septiembre de 2011 13:49
  • he verificado dicho codigo por una situacion similar donde es necesario que una persona en especifica tenga acceso a 1 solo servidor pero no a otros servidores o el bosque completo, pero si requerimos que realice operaciones "basicas" pero que la seguridad del servidor solo permite dichas aplicaciones mediante administradores (ejemplo: compartir carpetas o cambiar los privilegios de las mismas en windows server 2008 r2) ejecute el comando donde (segun entiendo) se agregan al localgroup de administradores (windows en español) y si tiene el usuario que se ha designado pero al mismo tiempo ese usuario de manera indirecta tiene acceso al dominio entero donde puede darse mas privilegios de los que realmente deberia, he intentado agregar al servidor (que por cierto esta en la OU de controladores de dominio) a otros grupos o poner que es administrador por el usuario que necesitamos pero no me da esa alternativa de realmente administralo (no se si tarde en replicar por que los demas movimientos los hizo muy rapido) no se si han encontrado otra forma, intente hacerlo con las politicas locales pero como toma las del dominio no me es tan facil mover para 1 solo servidor jejejje
    jueves, 6 de octubre de 2011 21:45
  • Bulbonio, primero que nada por favor trata de escribir más claro. Puede que cuando hables hagas pausas, pero escribiendo de esa forma, por lo menos para mí es incomprensible.

    Segundo, al ser un tema diferente por favor comienza un nuevo hilo

    Gracias

     


    Guillermo Delprato - Buenos Aires, Argentina
    Visite Notas Windows Server
    MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.
    viernes, 7 de octubre de 2011 11:17
    Moderador