none
Administrador local por gpo pero solo de su maquina en concreto no de todas RRS feed

  • Pregunta

  • Hola

    Mi intención es crear una política que me permita asignar a un usuario como administrador local de su maquina en concreto, remarco de su maquina en concreto no de todas, solo de una, encontré una manera de hacerlo pero me esta fallando, exactamente me esta pasando que aveces me funciona y aveces no, creo que otra política me esta borrando los administradores locales de las maquinas, entonces los usarios tienen de refrescar políticas y realizar login varias veces y asin funciona pero al tiempo le acaban desapareciendo los permisos.

    Total: una chapuza que quiero solucionar.

    Aquí debajo os dejo como cree la política. 

    La política es la siguiente :

    Mediante este menú hago que se añadan los usuarios a un grupo local especifico ( en este caso administradores (integrados) ) indicando el nombre del usuario que tiene de pertencer al grupo y el  nombre de la maquina.

    Haber si alguien me puede ayudar o decirme alguna otra manera de crear la gpo.

    Muchas gracias.

    Un saludo

    martes, 26 de agosto de 2014 10:57

Respuestas

  • Hola, Daniel:

    Ten en cuenta que las GPO están pensadas para aplicarse a un gran número de clientes, de forma que facilita notablemente las tareas Administrativas del Ingeniero/Administrador corporativo. Aunque personalmente me hubiera decantado por la 3ª opción (ojo! Solo en el caso en que quisiera aplicarlo a UNA única máquina), la 2ª opción es perfectamente viable. Basta con crear una GPO personalizada con los parámetros de configuración indicados, y asignarla a una OU en el que esté incluida tanto la estación cliente a la que desees aplicar como la cuenta de usuario (aunque hay otros métodos para aplicar la GPO..)

    Respondiendo directamente a tu consulta, ten en cuenta que el registro GPO hace referencia a "Grupos de usuarios", lo que implica que el bicho de turno debe pertenecer a un grupo de seguridad (recomendado ámbito de dominio local). Accede desde editor GPO a la ruta "Conf. del equipo => Políticas => Conf. de Windows => Conf. de Seguridad => Grupos restringidos" y con el botón secundario en la zona vacía de la derecha escoge la opción "Añadir grupo" del cuadro de diálogo.
    Escribe el nombre del grupo siguiendo la regla <dominio>\<nombre de grupo> (o búscalo desde el botón pertinente). Al pulsar sobre OK te aparecerá un cuadro de diálogo un tanto más completo dividido en dos apartados principales (y bastante intuitivos, la verdad):
    Una zona superior encabezado por el nombre "Miembros de éste grupo" en el que puedes agregar la cuenta del bicho (aunque no es necesario: ya está en el grupo que has indicado previamente);
    Una zona inferior de encabezado "Éste grupo es Miembro de.." en que, al pulsar sobre su botón AÑADIR correspondiente, puedes definir la membresía/privilegios locales que tendrá el bicho en la máquina local (es decir: Escribe "Administrators/Administradores" -dependiendo del idioma y sin comillas- y automáticamente le habrás definido en el grupo de Administración local de la máquina en que inicie la sesión.)

    Tienes inormación más detallada sobre los procesos indicados en los enlaces siguientes:

    · Grupos restringidos: definición y descripción:
    http://msdn.microsoft.com/es-es/library/cc785631%28v=ws.10%29.aspx

    · Cómo configurar un grupo Global para ser miembro del grupo Administradores en todas las estaciones de trabajo:
    (Que básicamente es lo que te he explicado en la parrafada anterior, con la "novedad" de aplicar la GPO a úna única máquina..)
    http://support.microsoft.com/kb/320065/es-us

    Desiderio Ondo | Bachellor Science in Computer engineering | MCSE certified | ITIL certified | Exchange mailing certified

    • Propuesto como respuesta Uriel Almendra martes, 26 de agosto de 2014 14:05
    • Marcado como respuesta Uriel Almendra jueves, 28 de agosto de 2014 15:10
    martes, 26 de agosto de 2014 13:38

Todas las respuestas

  • Hola, Daniel:

    Personalmente, NO recomiendo que un usuario disponga de privilegios de Administración, ni siquiera en su propia máquina ya que es una garantía absoluta de que se la va a "cargar". De hecho, se recomienda que los usuarios siempre tengan los permisos mínimos necesarios para realizar sus actividades profesionales, y da la casualidad que para escribir documentos de texto, acceder a un aplicativo web o gestiornar registros de Bases de Datos (entre otras 1000 funciones adicionales) NO es necesario ser Administrador. Los niveles de usuario están por algo.

    Pero bueno.. Respondiendo directamente a tu consulta, hay 2 formas posibles de conseguir tus resultados:
    .- La más sencilla: Desde la consola DSA.msc de tu DC, accede al contenedor BUILTIN y agrega al bicho de turno al grupo ADMINISTRADORES/ADMINISTRATORS.
    .- Por GPO: Desde la consola GPMC.msc, accede al GPO que te "mola" y edítalo desde la ruta "Conf. del equipo => Políticas => Conf. de Windows => Conf. de Seguridad => Grupos restringidos", donde podrás definir (de forma MUY intuitiva) que el grupo de usuarios que señales pertenezcan al grupo de Administración local del equipo..
    .- Por cuenta local: Quizá el método más "pesado". Accede desde el equipo local a EJECUTAR => LUSRMGR.msc => Grupos) y añade al bicho de turno dentro del grupo de ADMINISTRADORES.

    Repito: NO lo recomiendo..

    Desiderio Ondo | Bachellor Science in Computer engineering | MCSE certified | ITIL certified | Exchange mailing certified

    martes, 26 de agosto de 2014 11:55
  • Hola Desiderio, gracias por responder, pero no consigo entenderte, el primer y el tercer método no me interesa, y el segundo cuando llego a grupos restringuidos, como hago para que un usuario solo sea administrador local de una maquina en concreto ( la que yo le diga ) ?

    Gracias

    martes, 26 de agosto de 2014 12:51
  • Hola, Daniel:

    Ten en cuenta que las GPO están pensadas para aplicarse a un gran número de clientes, de forma que facilita notablemente las tareas Administrativas del Ingeniero/Administrador corporativo. Aunque personalmente me hubiera decantado por la 3ª opción (ojo! Solo en el caso en que quisiera aplicarlo a UNA única máquina), la 2ª opción es perfectamente viable. Basta con crear una GPO personalizada con los parámetros de configuración indicados, y asignarla a una OU en el que esté incluida tanto la estación cliente a la que desees aplicar como la cuenta de usuario (aunque hay otros métodos para aplicar la GPO..)

    Respondiendo directamente a tu consulta, ten en cuenta que el registro GPO hace referencia a "Grupos de usuarios", lo que implica que el bicho de turno debe pertenecer a un grupo de seguridad (recomendado ámbito de dominio local). Accede desde editor GPO a la ruta "Conf. del equipo => Políticas => Conf. de Windows => Conf. de Seguridad => Grupos restringidos" y con el botón secundario en la zona vacía de la derecha escoge la opción "Añadir grupo" del cuadro de diálogo.
    Escribe el nombre del grupo siguiendo la regla <dominio>\<nombre de grupo> (o búscalo desde el botón pertinente). Al pulsar sobre OK te aparecerá un cuadro de diálogo un tanto más completo dividido en dos apartados principales (y bastante intuitivos, la verdad):
    Una zona superior encabezado por el nombre "Miembros de éste grupo" en el que puedes agregar la cuenta del bicho (aunque no es necesario: ya está en el grupo que has indicado previamente);
    Una zona inferior de encabezado "Éste grupo es Miembro de.." en que, al pulsar sobre su botón AÑADIR correspondiente, puedes definir la membresía/privilegios locales que tendrá el bicho en la máquina local (es decir: Escribe "Administrators/Administradores" -dependiendo del idioma y sin comillas- y automáticamente le habrás definido en el grupo de Administración local de la máquina en que inicie la sesión.)

    Tienes inormación más detallada sobre los procesos indicados en los enlaces siguientes:

    · Grupos restringidos: definición y descripción:
    http://msdn.microsoft.com/es-es/library/cc785631%28v=ws.10%29.aspx

    · Cómo configurar un grupo Global para ser miembro del grupo Administradores en todas las estaciones de trabajo:
    (Que básicamente es lo que te he explicado en la parrafada anterior, con la "novedad" de aplicar la GPO a úna única máquina..)
    http://support.microsoft.com/kb/320065/es-us

    Desiderio Ondo | Bachellor Science in Computer engineering | MCSE certified | ITIL certified | Exchange mailing certified

    • Propuesto como respuesta Uriel Almendra martes, 26 de agosto de 2014 14:05
    • Marcado como respuesta Uriel Almendra jueves, 28 de agosto de 2014 15:10
    martes, 26 de agosto de 2014 13:38
  • Vale ahora te he entendido y entiendo porque no te entendía, quizás no me haya explicado bien, yo solo quiero que el usuario sea administrador en una maquina en concreto ( la suya ) si se loguea en otra no quiero que tenga derechos de administrador.

    Ejemplo real : Un jefe tiene su portail, yo solo quiere que sea administrador en su portátil si se loguea en el portátil de cualquier otra persona no quiero que sea administrador.

    Creo que ahora me e explicado bien.

    Gracias y haber si ahora nos entendemos, pero sobretodo muchas gracias.

    martes, 26 de agosto de 2014 14:27
  • Hola, Daniel:

    Entonces el 3º método que señalaba en el primer post es la opción más acertada. Localmente desde la estación cliente del bicho, accede a la consola "Cuentas de usuario" del Panel de control => Administrar cuentas de usuario => solapa "Usuarios" => botón "Agregar" y sigue las indicaciones del Asistente de cuentas indicado: indica el nombre de usuario, el nombre completo del dominio, y tras pulsar sobre "Siguiente", escoge la opción "Administradores".

    Eso asociará la cuenta de dominio del bicho de turno al grupo Administradores locales de la máquina que estás usando ahora mismo, en exclusiva. En el resto de las máquinas, tendrá los privilegios que le diga el servidor.

    Recuerda que para proceder con las indicaciones señaladas, has de realizarlo con una cuenta con privilegios mínimos de "Usuario avanzado". Lo recomendable es que lo hagas con la cuenta de Administrador local..

    Desiderio Ondo | Bachellor Science in Computer engineering | MCSE certified | ITIL certified | Exchange mailing certified

    martes, 26 de agosto de 2014 14:36
  • Hola otra vez Desiderio, es la opción que yo le di al cliente y ya le recomendé que lo que quiere hacer tal como tu me indicabas no era lo mas acertado ni recomendado por Microsoft, pero ellos quieren hacerlo por política porque desde la política dicen que ven los usuarios y equipos a los que afecta  y que añadiéndolos manualmente si alguien se deja de anotar que usuarios han añadido manualmente se les puede pasar, por eso tu tercera opción no me vale, y ahí ando dándole vueltas.

    Haber si alguien sabe alguna otra manera.

    Muchissimas gracias por todo Desiderio.

     
    martes, 26 de agosto de 2014 14:42
  • Hola, Daniel:

    Para hacerlo por GPO, los pasos son los indicados en el post anterior: crear un GPO personalizado, asignarlo a la OU personalizada, y seguir los pasos indicados en el 2º post..

    En todo caso, confío en que alguno de los compañeros te aporte una solución que te satisfaga..


    Desiderio Ondo | Bachellor Science in Computer engineering | MCSE certified | ITIL certified | Exchange mailing certified

    martes, 26 de agosto de 2014 14:49