locked
problema con clientes de dominio 2003 con derechos de administrador RRS feed

  • Pregunta

  • <!-- /* Style Definitions */ p.MsoNormal, li.MsoNormal, div.MsoNormal {mso-style-parent:""; margin:0cm; margin-bottom:.0001pt; mso-pagination:widow-orphan; font-size:12.0pt; font-family:"Times New Roman"; mso-fareast-font-family:"Times New Roman";} @page Section1 {size:595.3pt 841.9pt; margin:70.85pt 3.0cm 70.85pt 3.0cm; mso-header-margin:35.4pt; mso-footer-margin:35.4pt; mso-paper-source:0;} div.Section1 {page:Section1;} -->

    Estimados, mi inconveniente es el siguiente: poseo una red local con Active directory instando en un servidor w2003. el problema que surgió es que a los clientes del dominio (windows xp sp2) tuve que otorgarles derechos de administrador en forma local, es decir: cada cliente del dominio están incluirlos en el grupo de administradores cada uno en su correspondiente terminal.
    motivo: No se podía ejecutar algunos programas que escribían en el registro, tampoco trabajar de forma fluida ya que las políticas de usuario no se lo permitían.
    Ahora, cada usuario puede instalar y desinstalar programas a su antojo en cada terminal. Leí bastante para denegar estos permisos pero no encontré una solución definitiva. mi intención es no instalar programa alguno que realice esta tarea si Windows puede hacerla por si mismo.
    Apelo a sus experiencias y me aconsejen sobre este tema

    domingo, 14 de marzo de 2010 15:56

Respuestas

  • esos programas que modifican el registro, NO DEBERIAN pero... algunos programadores lo haces y modifican claves que estan en las ramas del sistema en vez de utilizar la rama del usuario.
    Para esto existe en comando RUNAS, ejecutas desde un script el comando RUNAS y le pasas como parametro una cuenta administrador y su respectiva contrasena. Puedes pasarle una cuenta administrador de un dominio o de un usuario local.
    Mas info:
    http://support.microsoft.com/default.aspx/kb/305780?p=1
    http://support.microsoft.com/kb/294676
    http://www.microsoft.com/resources/documentation/windows/xp/all/proddocs/en-us/runas.mspx?mfr=true

    Saludos
    domingo, 14 de marzo de 2010 17:41
    Moderador
  • Si bien determinadas aplicaciones pueden dar inconvenientes cuando los usuarios no poseen privilegios de administrador, siempre es recomendable evitar otorgarles estos permisos por cuestiones de seguridad del sistema (y para ahorrarle además trabajo al departamento de soporte IT en el futuro).

    Te recomiendo en principio consultar con el proveedor del software a ver si hay alguna forma de hacer funcionar la aplicación sin otorgarle permisos excesivos al usuario (si hablamos de entornos corporativos, darle la menor cantidad de permisos puede ser considerado una "ley", por lo que quizá pueden ofrecerte alguna solución). En caso que no tengas acceso al proveedor o que el mismo no te dé una respuesta, podés investigar en algún equipo de prueba qué archivos y claves del registro necesita escribir el software utilizando alguna herramienta como Process Monitor (http://technet.microsoft.com/en-us/sysinternals/bb896645.aspx).

    Saludos!
    martes, 16 de marzo de 2010 13:10

Todas las respuestas

  • esos programas que modifican el registro, NO DEBERIAN pero... algunos programadores lo haces y modifican claves que estan en las ramas del sistema en vez de utilizar la rama del usuario.
    Para esto existe en comando RUNAS, ejecutas desde un script el comando RUNAS y le pasas como parametro una cuenta administrador y su respectiva contrasena. Puedes pasarle una cuenta administrador de un dominio o de un usuario local.
    Mas info:
    http://support.microsoft.com/default.aspx/kb/305780?p=1
    http://support.microsoft.com/kb/294676
    http://www.microsoft.com/resources/documentation/windows/xp/all/proddocs/en-us/runas.mspx?mfr=true

    Saludos
    domingo, 14 de marzo de 2010 17:41
    Moderador
  • Si bien determinadas aplicaciones pueden dar inconvenientes cuando los usuarios no poseen privilegios de administrador, siempre es recomendable evitar otorgarles estos permisos por cuestiones de seguridad del sistema (y para ahorrarle además trabajo al departamento de soporte IT en el futuro).

    Te recomiendo en principio consultar con el proveedor del software a ver si hay alguna forma de hacer funcionar la aplicación sin otorgarle permisos excesivos al usuario (si hablamos de entornos corporativos, darle la menor cantidad de permisos puede ser considerado una "ley", por lo que quizá pueden ofrecerte alguna solución). En caso que no tengas acceso al proveedor o que el mismo no te dé una respuesta, podés investigar en algún equipo de prueba qué archivos y claves del registro necesita escribir el software utilizando alguna herramienta como Process Monitor (http://technet.microsoft.com/en-us/sysinternals/bb896645.aspx).

    Saludos!
    martes, 16 de marzo de 2010 13:10
  • si la aplicacion toca pocas ramas del registro, puedes  elevar con un archivo.reg, que ejecutarias en cada pc, para que esas ramas del registro las pueda tocar. Danto boton dercho sobre la clave del regedit, puedes decir que usuario puede tocar o no tocar.

    Tenia yo un post de un fenomeno de aqui, que me puso como ejecutar apliaciones concretas de manera elevada.

    http://social.technet.microsoft.com/Forums/es-ES/wsgpes/thread/ea8ba73c-fe57-47b2-81b5-f08692b03287

    sábado, 18 de febrero de 2012 12:34