none
Grupo Domain Admin RRS feed

  • Pregunta

  • Hola,

    Actualmente para que un usuario se pueda conectar por escritorio remoto en cualquier máquina del dominio he de meterle en el grupo Domain Admin. Para salir del paso voy metiendo usuarios de confianza para que puedan trabajar, pero esto es un fallo y grande.

    La intención sería crear un grupo solo para las personas que puedan conectarse y así limpiar el grupo de Domain Admins.

    ¿Alguna idea?

    Gracias!!


    Saludos,

    martes, 18 de septiembre de 2012 6:11

Respuestas

  • Hola Martinez,

    Por defecto, todos los servidores llevan en su local SAM un grupo de seguridad llamado "Remote Desktop Users".

    Si habilitas escritorio remoto en un PC y añades los usuarios del dominio a este grupo local tendrán acceso RDP a este servidor.

    Si el deployment incluye muchos servidores, puedes hacer lo siguiente:

    - Crea un grupo de seguridad en AD y añade los usuarios que usan RDP

    - Crea y linka una GPO al dominio y utiliza GPP (policy preferences) para hacer un update del grupo en cuestión (remote desktop users) añadiendo el grupo de AD al local por gpo. De esta manera por política añadirás a todos los usuarios como usuarios de escritorio remoto en los servidores

    Te pego un enlace sobre como usar GPP ->http://www.grouppolicy.biz/2010/01/how-to-use-group-policy-preferences-to-secure-local-administrator-groups/

    Saludos

    Julio Rosua

    martes, 18 de septiembre de 2012 7:53
  • Martínez,

    Esto debería ser suficiente, has reiniciado el servidor/estación tras añadir los usuarios al grupo "remote desktop users"?

    Si así lo has hecho y sigue sin funcionar, revisa estos 2 enlaces:

    Habilitar RDP -> http://technet.microsoft.com/en-us/library/cc727977(v=ws.10).aspx 

    RDP Settings en GPO (es posible que tengas restringido en alguna GPO el uso de RDP)-> http://technet.microsoft.com/en-us/library/cc781509(v=ws.10).aspx

    La segunda opción sería posible, desde el servidor que te deniega la conexión ejecuta rsop.msc y verífica:

    Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment

    Setting: Allow logon through terminal services

    Si está habilitada la directiva machacará el contenido de lo que definas en el grupo local.

    En cualquier caso, lo de las GPP no cambia nada, es sólo una forma de automatizar el proceso de añadir el usuario al grupo.

    Saludos.

    Julio Rosua

    martes, 18 de septiembre de 2012 11:50

Todas las respuestas

  • Hola Martinez,

    Por defecto, todos los servidores llevan en su local SAM un grupo de seguridad llamado "Remote Desktop Users".

    Si habilitas escritorio remoto en un PC y añades los usuarios del dominio a este grupo local tendrán acceso RDP a este servidor.

    Si el deployment incluye muchos servidores, puedes hacer lo siguiente:

    - Crea un grupo de seguridad en AD y añade los usuarios que usan RDP

    - Crea y linka una GPO al dominio y utiliza GPP (policy preferences) para hacer un update del grupo en cuestión (remote desktop users) añadiendo el grupo de AD al local por gpo. De esta manera por política añadirás a todos los usuarios como usuarios de escritorio remoto en los servidores

    Te pego un enlace sobre como usar GPP ->http://www.grouppolicy.biz/2010/01/how-to-use-group-policy-preferences-to-secure-local-administrator-groups/

    Saludos

    Julio Rosua

    martes, 18 de septiembre de 2012 7:53
  • Hola Julio,

    Gracias por tu respuesta.

    He probado la primera opción pero añado usuarios a "Remote Desktop Users" y siguen sin poder iniciar, reciben un error que dice que las cuentas de usuario no están permitidas para el inicio remoto de sesión. Es como si necesitaran pertenecer obligatoriamente al grupo Domain Admins para poder conectarse (cosa que no me creo que sea así). Se te ocurre otra opción? O prosigo con la segunda opción de la GPO?

    Mil gracias,

    Un saludo.


    Saludos,

    martes, 18 de septiembre de 2012 11:25
  • Martínez,

    Esto debería ser suficiente, has reiniciado el servidor/estación tras añadir los usuarios al grupo "remote desktop users"?

    Si así lo has hecho y sigue sin funcionar, revisa estos 2 enlaces:

    Habilitar RDP -> http://technet.microsoft.com/en-us/library/cc727977(v=ws.10).aspx 

    RDP Settings en GPO (es posible que tengas restringido en alguna GPO el uso de RDP)-> http://technet.microsoft.com/en-us/library/cc781509(v=ws.10).aspx

    La segunda opción sería posible, desde el servidor que te deniega la conexión ejecuta rsop.msc y verífica:

    Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment

    Setting: Allow logon through terminal services

    Si está habilitada la directiva machacará el contenido de lo que definas en el grupo local.

    En cualquier caso, lo de las GPP no cambia nada, es sólo una forma de automatizar el proceso de añadir el usuario al grupo.

    Saludos.

    Julio Rosua

    martes, 18 de septiembre de 2012 11:50