none
Como hacer que mi equipo de tecnicos instalen programas, sin ser administradores del dominio RRS feed

  • Pregunta

  • Hola, quisiera que pudieran colaborarme, verán en la empresa tenemos 2 técnicos y yo el ingeniero, yo administro la red pero requiero darle permisos a mi grupo de técnicos para que ellos puedan instalar programas en las maquinas del dominio sin ser administradores del dominio, ya intente con grupos restringidos y no me funciona, podrían colaborarme?


    Gracias.


    Michel Andres Ospina Jaramillo Tecnologo de telecomunicaciones

    miércoles, 29 de noviembre de 2017 2:43

Respuestas

  • Hola, MichelTeleco:

    No es estrictamente necesario que el usuario "X" sea miembro del grupo de Administradores de dominio para que pueda instalar aplicaciones "pesadas" en un estación de trabajo cliente; basta con que sea miembro del grupo local de Administradores en la estación cliente.. y para ello, se asigna a un grupo personalizado como miembro. Casualmente, se hace uso del apartado "grupos restringidos" de las GPO para tal fin.

    Te recomiendo revises si la metodología que has empleado de asignación de los grupos coincide con la metodología oficial recomendada por Microsoft:
    Más info:
    · Cómo configurar un grupo Global para ser miembro del grupo Administradores en todas las estaciones de trabajo:
    https://support.microsoft.com/es-es/help/320065/how-to-configure-a-global-group-to-be-a-member-of-the-administrators-g

    ..E instrucciones paso-a-paso cortesía del compañero Ricard Ibañez:
    · Configurar administradores locales desde Active Directory:
    https://www.cenabit.com/2012/11/configurar-administradores-locales-desde-active-directory/

    Desiderio Ondo || Engineer

    miércoles, 29 de noviembre de 2017 8:33
  • Sospechaba que era así como lo hacías, de ahí que insistiera en que "vieras" el procedimiento oficial de Microsoft: puedes poner el nombre del grupo, pero agregando el path LDAP de ubicación. Esto es: <DOMINIO>\ADMINISTRADORES (por ejemplo) para indicarles que quieres que el grupo predeterminado "Administradores" sea miembro del grupo que definas. Por ello, por muy molesto que sea (a mí tambien me fastidia, la verdad).. es recomendable que pulses sobre el botón BROWSE y selecciones correctamente tanto el grupo "contenedor" como el grupo "contenido" (para entendernos)

    Por poner un ejemplo, si buscas el nombre del grupo y lo seleccionas, verás que no aparece "solo" el texto "Administradores. De ahí el fallo que reportas..

    Desiderio Ondo || Engineer

    miércoles, 29 de noviembre de 2017 13:06

Todas las respuestas

  • Hola, MichelTeleco:

    No es estrictamente necesario que el usuario "X" sea miembro del grupo de Administradores de dominio para que pueda instalar aplicaciones "pesadas" en un estación de trabajo cliente; basta con que sea miembro del grupo local de Administradores en la estación cliente.. y para ello, se asigna a un grupo personalizado como miembro. Casualmente, se hace uso del apartado "grupos restringidos" de las GPO para tal fin.

    Te recomiendo revises si la metodología que has empleado de asignación de los grupos coincide con la metodología oficial recomendada por Microsoft:
    Más info:
    · Cómo configurar un grupo Global para ser miembro del grupo Administradores en todas las estaciones de trabajo:
    https://support.microsoft.com/es-es/help/320065/how-to-configure-a-global-group-to-be-a-member-of-the-administrators-g

    ..E instrucciones paso-a-paso cortesía del compañero Ricard Ibañez:
    · Configurar administradores locales desde Active Directory:
    https://www.cenabit.com/2012/11/configurar-administradores-locales-desde-active-directory/

    Desiderio Ondo || Engineer

    miércoles, 29 de noviembre de 2017 8:33
  • Hola muchas gracias por la respuesta, si coíncide sin embargo tengo una pequeña duda cuando creo el grupo restringido basta con poner el nombre "administradores" y que se cree un nuevo grupo, o se debe buscar el grupo administradores perteneciente a la UO de built del dominio ? y posterior a esto agregar a  ese grupo los usuarios o grupos que requiero que tengan esos permisos?. 

    Actualmente lo tengo creado "administradores" y dentro de él el grupo que necesito, pero no funciona.


    Michel Andres Ospina Jaramillo Tecnologo de telecomunicaciones

    miércoles, 29 de noviembre de 2017 12:47
  • Sospechaba que era así como lo hacías, de ahí que insistiera en que "vieras" el procedimiento oficial de Microsoft: puedes poner el nombre del grupo, pero agregando el path LDAP de ubicación. Esto es: <DOMINIO>\ADMINISTRADORES (por ejemplo) para indicarles que quieres que el grupo predeterminado "Administradores" sea miembro del grupo que definas. Por ello, por muy molesto que sea (a mí tambien me fastidia, la verdad).. es recomendable que pulses sobre el botón BROWSE y selecciones correctamente tanto el grupo "contenedor" como el grupo "contenido" (para entendernos)

    Por poner un ejemplo, si buscas el nombre del grupo y lo seleccionas, verás que no aparece "solo" el texto "Administradores. De ahí el fallo que reportas..

    Desiderio Ondo || Engineer

    miércoles, 29 de noviembre de 2017 13:06
  • Muchas gracias por su respuesta, he validado y cuando inicio sesión si aparece como administrador local y es de gran ayuda ahora mi otra duda es necesario siempre iniciar sesión para permitir instalar;

    Me explico, mi técnico va a instalar en X computadora un software dicha computadora está iniciada con un usuario básico del que maneja ese dispositivo, cuando mi técnico ejecuta el programa le pide usuario y contraseña admin, allí ingreso esa que a la cual le asigne privilegios y no funciona, o habría que logearlo como local es decir "Nombre de la maquina"\nombre del usuario al cual le dí el permiso" ?


    Michel Andres Ospina Jaramillo Tecnologo de telecomunicaciones

    miércoles, 29 de noviembre de 2017 14:30
  • Eso ya sería una nueva consulta, compañero; te recomiendo primero cierres éste hilo validando la respuesta como correcta.. y abriendo un nuevo hilo con la consulta que formulas..

    Desiderio Ondo || Engineer

    miércoles, 29 de noviembre de 2017 14:43
  • Muchas gracias por su respuesta, he validado y cuando inicio sesión si aparece como administrador local y es de gran ayuda ahora mi otra duda es necesario siempre iniciar sesión para permitir instalar;

    Me explico, mi técnico va a instalar en X computadora un software dicha computadora está iniciada con un usuario básico del que maneja ese dispositivo, cuando mi técnico ejecuta el programa le pide usuario y contraseña admin, allí ingreso esa que a la cual le asigne privilegios y no funciona, o habría que logearlo como local es decir "Nombre de la maquina"\nombre del usuario al cual le dí el permiso" ?


    Michel Andres Ospina Jaramillo Tecnologo de telecomunicaciones


    Hola, tengo la misma necesidad, lograste solucionar la necesidad que tienes?, por favor me puedes dar un feedback de lo acontecido. Muchas gracias.
    martes, 6 de marzo de 2018 23:22
  • Hola Luisrmg,

    Te invitamos a que realices tu consulta de manera independiente, de esta forma es mas facil para los colaboradores identificarla y brindarte la ayuda necesaria.

    Quedo pendiente de tus comentarios.

    Recibe un cordial saludo.

    Gracias por usar los foros de TechNet.

    Juan
    _____
     
    Por favor recuerde "Marcar como respuesta" las respuestas que hayan resuelto su problema, es una forma común de reconocer a aquellos que han ayudado, y hace que sea más fácil para los otros visitantes encontrar la solución más tarde.
     
    Microsoft ofrece este servicio de forma gratuita, con la finalidad de ayudar a los usuarios y la ampliación de la base de datos de conocimientos relacionados con los productos y tecnologías de Microsoft.

    Este contenido es proporcionado "tal cual" y no implica ninguna responsabilidad de parte de Microsoft.

    miércoles, 7 de marzo de 2018 15:36
    Moderador
  • Muchas gracias por su respuesta, he validado y cuando inicio sesión si aparece como administrador local y es de gran ayuda ahora mi otra duda es necesario siempre iniciar sesión para permitir instalar;

    Me explico, mi técnico va a instalar en X computadora un software dicha computadora está iniciada con un usuario básico del que maneja ese dispositivo, cuando mi técnico ejecuta el programa le pide usuario y contraseña admin, allí ingreso esa que a la cual le asigne privilegios y no funciona, o habría que logearlo como local es decir "Nombre de la maquina"\nombre del usuario al cual le dí el permiso" ?


    Michel Andres Ospina Jaramillo Tecnologo de telecomunicaciones


    Hola, tengo la misma necesidad, lograste solucionar la necesidad que tienes?, por favor me puedes dar un feedback de lo acontecido. Muchas gracias.

    Compañero la realice por grupos restringidos debes fijarte bien que en la UO donde establezcas la política se encuentren los equipos que requieres que adopten los grupos restringidos (Evita que allí estén los servidores porque sino los harás también administrador de los servidores), allí debes entender que al crear el grupo restringido debe ser igual a administradores y esté  reemplazará al grupo administradores de los grupos locales; Por tal motivo el grupo restringido administradores debe contenerte y contener a los técnicos (Del dominio).

    Espero haber sido claro.

    La ruta de la gpo es Configuración del equipo/Configuración de windows/ Configuración de seguridad / Grupos restringidos.


    Michel Andres Ospina Jaramillo Tecnologo de telecomunicaciones

    miércoles, 7 de marzo de 2018 18:55