Principales respuestas
Grupo Domain Admin

Pregunta
-
Hola,
Actualmente para que un usuario se pueda conectar por escritorio remoto en cualquier máquina del dominio he de meterle en el grupo Domain Admin. Para salir del paso voy metiendo usuarios de confianza para que puedan trabajar, pero esto es un fallo y grande.
La intención sería crear un grupo solo para las personas que puedan conectarse y así limpiar el grupo de Domain Admins.
¿Alguna idea?
Gracias!!
Saludos,
- Cambiado Guillermo Delprato []Moderator martes, 18 de septiembre de 2012 23:18 (De:Directorio activo)
Respuestas
-
Hola Martinez,
Por defecto, todos los servidores llevan en su local SAM un grupo de seguridad llamado "Remote Desktop Users".
Si habilitas escritorio remoto en un PC y añades los usuarios del dominio a este grupo local tendrán acceso RDP a este servidor.
Si el deployment incluye muchos servidores, puedes hacer lo siguiente:
- Crea un grupo de seguridad en AD y añade los usuarios que usan RDP
- Crea y linka una GPO al dominio y utiliza GPP (policy preferences) para hacer un update del grupo en cuestión (remote desktop users) añadiendo el grupo de AD al local por gpo. De esta manera por política añadirás a todos los usuarios como usuarios de escritorio remoto en los servidores
Te pego un enlace sobre como usar GPP ->http://www.grouppolicy.biz/2010/01/how-to-use-group-policy-preferences-to-secure-local-administrator-groups/
Saludos
- Propuesto como respuesta Marc SalvadorModerator martes, 18 de septiembre de 2012 11:16
- Marcado como respuesta Eduardo PorteschellerModerator jueves, 20 de septiembre de 2012 13:47
-
Martínez,
Esto debería ser suficiente, has reiniciado el servidor/estación tras añadir los usuarios al grupo "remote desktop users"?
Si así lo has hecho y sigue sin funcionar, revisa estos 2 enlaces:
Habilitar RDP -> http://technet.microsoft.com/en-us/library/cc727977(v=ws.10).aspx
RDP Settings en GPO (es posible que tengas restringido en alguna GPO el uso de RDP)-> http://technet.microsoft.com/en-us/library/cc781509(v=ws.10).aspx
La segunda opción sería posible, desde el servidor que te deniega la conexión ejecuta rsop.msc y verífica:
Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment
Setting: Allow logon through terminal services
Si está habilitada la directiva machacará el contenido de lo que definas en el grupo local.
En cualquier caso, lo de las GPP no cambia nada, es sólo una forma de automatizar el proceso de añadir el usuario al grupo.
Saludos.
Julio Rosua
- Marcado como respuesta Eduardo PorteschellerModerator jueves, 20 de septiembre de 2012 13:47
Todas las respuestas
-
Hola Martinez,
Por defecto, todos los servidores llevan en su local SAM un grupo de seguridad llamado "Remote Desktop Users".
Si habilitas escritorio remoto en un PC y añades los usuarios del dominio a este grupo local tendrán acceso RDP a este servidor.
Si el deployment incluye muchos servidores, puedes hacer lo siguiente:
- Crea un grupo de seguridad en AD y añade los usuarios que usan RDP
- Crea y linka una GPO al dominio y utiliza GPP (policy preferences) para hacer un update del grupo en cuestión (remote desktop users) añadiendo el grupo de AD al local por gpo. De esta manera por política añadirás a todos los usuarios como usuarios de escritorio remoto en los servidores
Te pego un enlace sobre como usar GPP ->http://www.grouppolicy.biz/2010/01/how-to-use-group-policy-preferences-to-secure-local-administrator-groups/
Saludos
- Propuesto como respuesta Marc SalvadorModerator martes, 18 de septiembre de 2012 11:16
- Marcado como respuesta Eduardo PorteschellerModerator jueves, 20 de septiembre de 2012 13:47
-
Hola Julio,
Gracias por tu respuesta.
He probado la primera opción pero añado usuarios a "Remote Desktop Users" y siguen sin poder iniciar, reciben un error que dice que las cuentas de usuario no están permitidas para el inicio remoto de sesión. Es como si necesitaran pertenecer obligatoriamente al grupo Domain Admins para poder conectarse (cosa que no me creo que sea así). Se te ocurre otra opción? O prosigo con la segunda opción de la GPO?
Mil gracias,
Un saludo.
Saludos,
-
Martínez,
Esto debería ser suficiente, has reiniciado el servidor/estación tras añadir los usuarios al grupo "remote desktop users"?
Si así lo has hecho y sigue sin funcionar, revisa estos 2 enlaces:
Habilitar RDP -> http://technet.microsoft.com/en-us/library/cc727977(v=ws.10).aspx
RDP Settings en GPO (es posible que tengas restringido en alguna GPO el uso de RDP)-> http://technet.microsoft.com/en-us/library/cc781509(v=ws.10).aspx
La segunda opción sería posible, desde el servidor que te deniega la conexión ejecuta rsop.msc y verífica:
Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment
Setting: Allow logon through terminal services
Si está habilitada la directiva machacará el contenido de lo que definas en el grupo local.
En cualquier caso, lo de las GPP no cambia nada, es sólo una forma de automatizar el proceso de añadir el usuario al grupo.
Saludos.
Julio Rosua
- Marcado como respuesta Eduardo PorteschellerModerator jueves, 20 de septiembre de 2012 13:47