locked
Administradores de dominio en Windows 7 RRS feed

  • Pregunta

  • Buenos días,

    Tengo el siguiente problema, a ver si alguien me puede echar una mano. En la oficina tenemos los equipos en un dominio. Son todos Windows XP. Hemos instalado un par de Windows 7 para hacer pruebas e implantarlo.

    El problema está en que con un usuario Administrador de dominio, como el mio, no puedo hacer modificaciones por ejemplo en el fichero services. Me dice que no tengo permisos para hacer los cambios, que si quiero que puedo guardar una copia del fichero en la carpeta mis documentos. Con el administrador local de la maquina si que me deja sin problermas.

    He mirado el grupo Administradores de la maquina, y veo que estan el administrador local, y el administradores de dominio, como en el resto de maquinas XP.
    Lo he quitado y vuelto a agregar y ejecutar un gpupdate /force pero nada.

    Lo mas curioso es que con un usuario administrador de dominio si me deja hacer cosas solo habilitadas para un administrador, pero por ejemplo modificar ficheros de la carpeta Windows no.

    Gracias a todos y un saludo.
    lunes, 8 de febrero de 2010 8:55

Respuestas

  • Buenas Jose Manuel,

    Entonces cual sería la mejor opcion a tu entender para que un usuario Administrador de dominio, que pertenezca al grupo "Administradores" de la maquina pueda realizar modificaciones en los ficheros del disco duro com si se tratase de un usuario local, miembro de ese mismo grupo "Administradores" ???

    Gracias por responder,

    En general no es posible a menos que le des permisos especificos a los ficheros que necesites. Es un usuario mas que tendrás sus privilegios en acceso a ficheros. Podrás tomar posesion con el comando takeown a lo que necesite y luego otrogarse permisos con icacls... es decir como administrador en este caso, pero lo tendrá que hacer especificamente para ciertos archivos.

    Un saludo,

    Jose Manuel Tella Llop news://jmtella.com

    lunes, 8 de febrero de 2010 12:28
  • Buenas Jose Manuel,

    Entonces cual sería la mejor opcion a tu entender para que un usuario Administrador de dominio, que pertenezca al grupo "Administradores" de la maquina pueda realizar modificaciones en los ficheros del disco duro com si se tratase de un usuario local, miembro de ese mismo grupo "Administradores" ???

    Gracias por responder,

    Pablo la cuestión es que así crees políticas que agreguen a un domain admin como administrador local de la maquina los administradores locales también tienen algunas parte del sistema donde no podrán acceder. 
    Tendrías que hacer lo que te comenta Jose para tomar control y cambiar las ACLS... pero no le veo mucho sentido, en la practica para que necesitas esto?

    Un saludo,

    Ricardo Polo "HodracirK"
    lunes, 8 de febrero de 2010 13:40

Todas las respuestas

  • Buenos días,

    Tengo el siguiente problema, a ver si alguien me puede echar una mano. En la oficina tenemos los equipos en un dominio. Son todos Windows XP. Hemos instalado un par de Windows 7 para hacer pruebas e implantarlo.

    El problema está en que con un usuario Administrador de dominio, como el mio, no puedo hacer modificaciones por ejemplo en el fichero services. Me dice que no tengo permisos para hacer los cambios, que si quiero que puedo guardar una copia del fichero en la carpeta mis documentos. Con el administrador local de la maquina si que me deja sin problermas.

    He mirado el grupo Administradores de la maquina, y veo que estan el administrador local, y el administradores de dominio, como en el resto de maquinas XP.
    Lo he quitado y vuelto a agregar y ejecutar un gpupdate /force pero nada.

    Lo mas curioso es que con un usuario administrador de dominio si me deja hacer cosas solo habilitadas para un administrador, pero por ejemplo modificar ficheros de la carpeta Windows no.

    Gracias a todos y un saludo.

    Veamos, por el final: nadie puede modificar las carpetas del sistema en Windows 7 (ni en Vista). Ni los administradores, sean locales o del dominio ya que windows 7 mete ACL's a las carpetas del sistema. Solo el "TrueInstaller" que se invoca en instalacion de programas puede hacerlo. Es verdad que siempre se pueden hacer chapuzas mediante los coamndos takeown e icacls para tomas propiedad de un archivo y posteriormente cambiarle las ACLs (Access Control List)... pero es una chapuza y no lo aconsejo (está sin soporte).

    En cuanto a lo del services, ¿a que te refieres? ¿a services.msc?...

    Un saludo,

    Jose Manuel Tella Llop news://jmtella.com

    lunes, 8 de febrero de 2010 10:08
  • Buenas,

    Gracias por respodner Jose Manuel.

    Me refiero al fichero services (C:\WINDOWS\system32\drivers\etc\services).

    Si miro en el grupo de administradores del equipo veo dos:
    Adminitrador (administrador local)
    Dominio\Domain Admins

    Con el administrador local si me deja modificarlo. Con un usuario que pertenece al grupo Domain Admins no.

    Le he eliminado el grupo y vuelto a asignar y he forzado una aplicacion de las politicas de dominio pero nada sigue sin dejar. Los usuarios que forman parte del grupo Domain Admins estan bien, ya que con el resto de equipos cliente (Windows XP) si que actuan como administradores de las máquinas al 100%.
    lunes, 8 de febrero de 2010 10:28
  • Buenas,

    Gracias por respodner Jose Manuel.

    Me refiero al fichero services (C:\WINDOWS\system32\drivers\etc\services).

    Si miro en el grupo de administradores del equipo veo dos:
    Adminitrador (administrador local)
    Dominio\Domain Admins

    Con el administrador local si me deja modificarlo. Con un usuario que pertenece al grupo Domain Admins no.

    Le he eliminado el grupo y vuelto a asignar y he forzado una aplicacion de las politicas de dominio pero nada sigue sin dejar. Los usuarios que forman parte del grupo Domain Admins estan bien, ya que con el resto de equipos cliente (Windows XP) si que actuan como administradores de las máquinas al 100%.

    Es que no tiene nada que ver XP con Vista o con Windows 7. Olvidate de lo que sabes y de las comparaciones. El tema es simplemente permisos locales. Verifica las ACL's con el comando icacls al fichero services y lo verás.

    Un saludo,

    Jose Manuel Tella Llop news://jmtella.com

    lunes, 8 de febrero de 2010 10:35
  • Buenas,

    La salida del comando icacls es la siguiente:

    NT SERVICE\TrustedInstaller:(F)
    NT SERVICE\TrustedInstaller:(CI)(IO)(F)
    NT AUTHORITY\SYSTEM:(M)
    NT AUTHORITY\SYSTEM:(OI)(CI)(IO)(F)
    BUILTIN\Administradores:(M)
    BUILTIN\Administradores:(OI)(CI)(IO)(F)
    BUILTIN\Usuarios:(RX)
    BUILTIN\Usuarios:(OI)(CI)(IO)(GR,GE)
    CREATOR OWNER:(OI)(CI)(IO)(F)

    Pero la cuestion es que un usuario local en el grupo de Adminitradores del equipo si puede realizar los cambios, pero un usuario de dominio en el mismo grupo de Administradores del equipo no puede.

    lunes, 8 de febrero de 2010 11:08
  • Buenas,

    La salida del comando icacls es la siguiente:

    NT SERVICE\TrustedInstaller:(F)
    NT SERVICE\TrustedInstaller:(CI)(IO)(F)
    NT AUTHORITY\SYSTEM:(M)
    NT AUTHORITY\SYSTEM:(OI)(CI)(IO)(F)
    BUILTIN\Administradores:(M)
    BUILTIN\Administradores:(OI)(CI)(IO)(F)
    BUILTIN\Usuarios:(RX)
    BUILTIN\Usuarios:(OI)(CI)(IO)(GR,GE)
    CREATOR OWNER:(OI)(CI)(IO)(F)

    Pero la cuestion es que un usuario local en el grupo de Adminitradores del equipo si puede realizar los cambios, pero un usuario de dominio en el mismo grupo de Administradores del equipo no puede.


    Fijate que los administradores (locales) tiene la ACL con los permisos.... pero DOMINIO\Administradores o DOMINIO\DomainAdmin no lo tiene.

    Jose Manuel Tella Llop news://jmtella.com

    lunes, 8 de febrero de 2010 11:12
  • Buenas Jose Manuel,

    Entonces cual sería la mejor opcion a tu entender para que un usuario Administrador de dominio, que pertenezca al grupo "Administradores" de la maquina pueda realizar modificaciones en los ficheros del disco duro com si se tratase de un usuario local, miembro de ese mismo grupo "Administradores" ???

    Gracias por responder,

    lunes, 8 de febrero de 2010 11:31
  • Buenas Jose Manuel,

    Entonces cual sería la mejor opcion a tu entender para que un usuario Administrador de dominio, que pertenezca al grupo "Administradores" de la maquina pueda realizar modificaciones en los ficheros del disco duro com si se tratase de un usuario local, miembro de ese mismo grupo "Administradores" ???

    Gracias por responder,

    En general no es posible a menos que le des permisos especificos a los ficheros que necesites. Es un usuario mas que tendrás sus privilegios en acceso a ficheros. Podrás tomar posesion con el comando takeown a lo que necesite y luego otrogarse permisos con icacls... es decir como administrador en este caso, pero lo tendrá que hacer especificamente para ciertos archivos.

    Un saludo,

    Jose Manuel Tella Llop news://jmtella.com

    lunes, 8 de febrero de 2010 12:28
  • Buenas Jose Manuel,

    Entonces cual sería la mejor opcion a tu entender para que un usuario Administrador de dominio, que pertenezca al grupo "Administradores" de la maquina pueda realizar modificaciones en los ficheros del disco duro com si se tratase de un usuario local, miembro de ese mismo grupo "Administradores" ???

    Gracias por responder,

    Pablo la cuestión es que así crees políticas que agreguen a un domain admin como administrador local de la maquina los administradores locales también tienen algunas parte del sistema donde no podrán acceder. 
    Tendrías que hacer lo que te comenta Jose para tomar control y cambiar las ACLS... pero no le veo mucho sentido, en la practica para que necesitas esto?

    Un saludo,

    Ricardo Polo "HodracirK"
    lunes, 8 de febrero de 2010 13:40
  • saludos

    soy sentipensante y quisiera saber como podria crear mi cuenta de administrador de dominio en win 7 e interconectar dos maquinas en red local con cable rj-45

     


    sentipensante
    lunes, 4 de abril de 2011 16:21
  • saludos

    soy sentipensante y quisiera saber como podria crear mi cuenta de administrador de dominio en win 7 e interconectar dos maquinas en red local con cable rj-45

     


    sentipensante

    No se si tienes claro lo que es un Dominio: un Dominio es un serve W2003, W2008 o bien W2008 R2, y lo que se puede hacer es desde cualquier windows (incluido windows 7) USAR una cuenta administradora del Dominio (que esto no es crear en local nada... sino solo usar el Dominio remoto).

    Saludos :)

    lunes, 4 de abril de 2011 17:09
  • gracias por tu aporte. ahora lo que deseo saber es como crear una arquitectura cliente/servidor desde win 7

     


    sentipensante
    lunes, 4 de abril de 2011 17:40
  • gracias por tu aporte. ahora lo que deseo saber es como crear una arquitectura cliente/servidor desde win 7

     


    sentipensante

    Esa palabra "cliente / servidor" tiene un dominio muy amplio pudiendose referir a multitud de cosas. Y tambien creo que la estas usando mal.

    ¿que es exactamente lo que quieres hacer?

    Saludos :)


    lunes, 4 de abril de 2011 17:51