none
¿Que permisos necesito para poder realizar shutdowns remoto? RRS feed

  • Pregunta

  • Hola

    Hay un usuario que desarrolla una aplicación que busca IPs que devuelvan ping y si responden, lanzar un shutdown -s -m \\IP_de_red

    El caso es qeu es un usuario normal y si intenta hacer este comando le da "acceso denegado". El único que he visto que puede hacer esto son usuarios de dominio, todo lo demás que he intentado no me funciona

    ¿Sabe alguien que permiso específico necesito o a que grupo de usuarios he de agregarlo?

    Saludos
    jueves, 20 de agosto de 2009 11:28

Respuestas

  • Hola,

    La estructura de OUs es organizativa. Entonces en Active Directory Users & Computers encuentras todas las PCs en el contenedor "Computers" por defecto, y en "Users" los usuarios.
    Lo que debes hacer es lo siguiente.
    Realiza un esquema de tu dominio, luego genera las OUs correspondientes, por ejemplo (VENTAS-COMPRAS-RRHH o simplemente COMPUTADORAS) y luego mueves los objetos desde el contenedor Computers a COMPUTADORAS.
    Por otro lado pon a tu usuario de SHUTDOWN en un grupo de prueba "ShutdownUsersTest"
    Ahora puedes crear una politica, asignarle los derechos a ese grupo en la policy y aplicarla (Link) a la GPO donde se movieron los objetos (COMPUTADORAS) ya que esta politica ira a aplicar sobre la configuracion del equipo.

    Realiza las pruebas con un solo equipo/usuarios dentro de la OU

    Para que esto funcione recuerda que debes reaplicar la politica sobre el ordenador. Basta con un simple boot si estas realizando pruebas, o si quieres tambien tienes el comando gpupdate

    Espero que se entienda!!

    Saludos
    Juan Barles - SECT IT Global Services
    • Marcado como respuesta Ismael Borche lunes, 29 de noviembre de 2010 17:25
    jueves, 20 de agosto de 2009 12:32

Todas las respuestas

  • Hola GoldFran,

    Para que pueda realizar shutdown remoto con el comando SHUTDOWN desde algun cliente, el usuario (o grupo al que pertenezca) debe tener 2 privilegios fijados:

    Verifica en las politicas que se aplican:

    Computer Configuration\Windows Settings\Security Settings
    \Local Policies\User Rights Assignment\

    1) Shutdown the system (Apagar el sistema)
    2) Force remote shutdown (Forzar cierre desde un sistema remoto)

    Saludos y nos comentas!
    Juan Barles - SECT IT Global Services
    jueves, 20 de agosto de 2009 12:17
  • Hola GoldFran,

    Para que pueda realizar shutdown remoto con el comando SHUTDOWN desde algun cliente, el usuario (o grupo al que pertenezca) debe tener 2 privilegios fijados:

    Verifica en las politicas que se aplican:

    Computer Configuration\Windows Settings\Security Settings
    \Local Policies\User Rights Assignment\

    1) Shutdown the system (Apagar el sistema)
    2) Force remote shutdown (Forzar cierre desde un sistema remoto)

    Saludos y nos comentas!
    Juan Barles - SECT IT Global Services
    Hola

    Yo te hablo dentro de un dominio, por lo que entiendo, que el usuario tendrá que estar en una OU con una GPO activando lo que tu me cuentas, ¿Cierto?

    Pero lo que no entiendo es como puede saber el sistema que esto se aplica a todos los ordenadores de la red
    jueves, 20 de agosto de 2009 12:22
  • Hola,

    La estructura de OUs es organizativa. Entonces en Active Directory Users & Computers encuentras todas las PCs en el contenedor "Computers" por defecto, y en "Users" los usuarios.
    Lo que debes hacer es lo siguiente.
    Realiza un esquema de tu dominio, luego genera las OUs correspondientes, por ejemplo (VENTAS-COMPRAS-RRHH o simplemente COMPUTADORAS) y luego mueves los objetos desde el contenedor Computers a COMPUTADORAS.
    Por otro lado pon a tu usuario de SHUTDOWN en un grupo de prueba "ShutdownUsersTest"
    Ahora puedes crear una politica, asignarle los derechos a ese grupo en la policy y aplicarla (Link) a la GPO donde se movieron los objetos (COMPUTADORAS) ya que esta politica ira a aplicar sobre la configuracion del equipo.

    Realiza las pruebas con un solo equipo/usuarios dentro de la OU

    Para que esto funcione recuerda que debes reaplicar la politica sobre el ordenador. Basta con un simple boot si estas realizando pruebas, o si quieres tambien tienes el comando gpupdate

    Espero que se entienda!!

    Saludos
    Juan Barles - SECT IT Global Services
    • Marcado como respuesta Ismael Borche lunes, 29 de noviembre de 2010 17:25
    jueves, 20 de agosto de 2009 12:32
  • Hola

    Si, el AD está organizado tengo una OU de prueba donde e metido al usuario en cuestión, pero esta política debo de aplicarla para esta OU de usuario, o también en la de COMPUTERS?
    jueves, 20 de agosto de 2009 12:51
  • Hola,

    En este caso la politica debes aplicarla sobre la OU de prueba que contiene al equipo que debes apagar o reiniciar.

    Por ejemplo y para facilitarte las cosas.

    Si ves en la GPMC que tiene dos ramas principales (Configuracion de equipo y Configuracion de Usuario) entonces todo lo que aplique al equipo se configurara en la primera parte y lo del usuario en la segunda.

    Todo lo que apliques al equipo ira a aplicar independientemente del usuario, luego al ingresar las credenciales del usuario y hacer loguin ira a aplicarse lo que corresponda a ese usuario si es que tiene algo definido en "Configuracion del Usuario" dentro de la policy.

    Saludos
    Juan Barles - SECT IT Global Services
    jueves, 20 de agosto de 2009 12:59
  • NOTA : Cabe aclarar que si vas a aplicar una politica de computadora sobre la OU la computadora deberia estar en esa misma OU (test)



    Sebastian del Rio - MCP - MCSA +S - MCSE +S - MCTS: AD - MCTS: ISA 2006 Buenos Aires - Argentina
    viernes, 21 de agosto de 2009 10:28
    Moderador
  • Hola

    El problema que he tengo y gordo... es que la he aplicado en toda la empresa y ahora la gente en local no puede apagar el equipo, solo pueden cerrar sesión porque no aparece la opcion ni de apagar ni de reiniciar

    Ya he modificadco la politica deshabilitando la opción de apagar el sistema

    Ahora si hago un gpupdate /force non me hace nada, no me aparecen, no se si es que hay que esperar un poco a que actúe el /force o hay que reiniciar manualmente "a botón"...

    Saludos
    viernes, 21 de agosto de 2009 10:38
  • Y estas seguro de que las politicas estan aplicando correctamente  ? Luego de ejecutar el gpupdate /force mira en el Log de eventos de Aplicacion tienes un evento 1704 ? si lo tienes el te esta indicando que la aplicacion de politicas es correcta si tienes errores tipo 1030 , 1058 probalblemente tu problema sea que las politicas no se estan aplicando correctamente.
    Sebastian del Rio - MCP - MCSA +S - MCSE +S - MCTS: AD - MCTS: ISA 2006 Buenos Aires - Argentina
    viernes, 21 de agosto de 2009 10:45
    Moderador
  • Nada el /force no me soluciona nada, no me canta error el event view. He probado cerrando y abriendo sesión y nada, la única opción es reiniciar, porque son políticas de equipos no de usuarios...
    viernes, 21 de agosto de 2009 10:57
  • Hola GoldFran,

    Bueno si tienes la posibilidad ejecuta gpupdate /force /boot , si en el proceso de las politicas es necesario el boot deberia alertarte.
    Y por ultimo realiza un boot manual.

    Recuerda siempre que apliques una nueva policy (una UO de test para usuarios y otra para EQUIPOS) con el minimo de objetos para no sufrir ese impacto que comentas.

    Saludos
    Juan Barles - SECT IT Global Services
    viernes, 21 de agosto de 2009 14:05
  • Nada al final solo he dejado la de poder iniciar en remoto para un determinado grupo de usuarios, y deshabilitar la de apagar equipo para que ese pueda apagar localmente...

    La verdad es que ha sido un patinazo impropio porque yo suelo hacer todo en OUs de pruebas e incluso users de prueba... Casi me cuesta el puesto, y una buena bronca jaaj pero bueno, si no se toca no se aprende.

    Saludos
    sábado, 22 de agosto de 2009 13:35
  • Hola

    Afortunadamente la cosa no fue tan traumática... Por otra parte dos cuestiones:

    1.- En otra sede me comentan que solo cambiando la política nuevamente, ya podían activar la opción de "apagar o reiniciar" en todos lso equipos, sin hacer un reinicio manual... ¿Como es esto posible?

    2.- ¿Por que motivo a nosotros el gpupdate /force no nos ha funcionado en localmente? ¿Como podría hacerse un gpupdate /force en todo la red por ejemplo?
    lunes, 24 de agosto de 2009 6:33
  • Hola Goldfran,

    Si las politicas lo que hacen en la mayoria de los casos es alterar valores dentro de la registry. Como funciona,  puedes verlo con detalles en esta nota de technet http://technet.microsoft.com/en-us/library/cc757597(WS.10).aspx

    Por el tema de que gpupdate no te funcione, deberias revisar los logs de aplicacion y sistema de windows en busca de errores.

    gpupdate puedes utilizarlo de la siguiente manera en forma remota: gpupdate /target:maquina_a_aplicar /forece

    Saludos
    Juan Barles - SECT IT Global Services
    lunes, 24 de agosto de 2009 16:13