none
Problemas con diferentes perfiles usuario de dominio RRS feed

  • Pregunta

  • Buenos dias.

    Tengo el siguiente problema, soy bastante nuevo en esto del AD la verdad, lo estamos implantando ahora, y nos ha surgido el siguiente problema:

    En nuestra organizacion tenemos principalmente 2 tipos de usuarios, desarrolladores y administrativos.

    Con los administrativos no hay ningun problema, con las politicas por defecto y alguna modificacion todo perfecto, el problema nos viene con los desarrolladores, el cual expongo algunos de ellos:

    Por ejemplo,
    - poder manajer aplicaciones como tomcat, parar y iniciar ese servicio, e incluso acceso denegado a la consola del tomcat
    - Problemas con mysql

    ¿Hay alguna manera automatizada o algun metoso que se use en GPO, para que los desarrolladores tengan permisos especiales, sin tener que ir uno a uno poniendolos como administradores locales?

    Gracias, un saludo.



    miércoles, 17 de junio de 2009 21:15

Respuestas

  • Q tal, la opción de hacerles administradores locales de sus equipos a tus desarrolladores es bastante efectiva, y si no deseas ir puesto por puesto haciendolo, lo puedes realizar desde la consola de usuarios y grupos de Active Directory, escoges el nombre de la estacion de trabajo, boton derecho administrar, y agregas el usuario o usuarios que quieres que sean administrador de ese equipo y ya está, todo es cuestion de volver a iniciar sesión en el equipo con las cuentas agregadas y ya tendran sus privilegios de administrador.

    Saludos,
    • Propuesto como respuesta lagar1977 viernes, 19 de junio de 2009 8:23
    • Marcado como respuesta CURRANTE_IT sábado, 20 de junio de 2009 19:46
    jueves, 18 de junio de 2009 23:02

Todas las respuestas

  • De modo bruto se me ocurre que los metas como administradores del Dominio y así lo serán de las máquinas también. O también existe un script que lo ejecutas y se hacen administradores locales.

    Trabaja con grupos, así no tendrás que ir uno a uno. Si no son más de 30 Pcs tampoco es lan tedioso ponerles como admin locales.

    Saludos.
    • Propuesto como respuesta lagar1977 viernes, 19 de junio de 2009 8:17
    jueves, 18 de junio de 2009 8:11
  • CURRANTE_IT, las opciones dependen de los privilegios que neceiten los desarrolladoes.

    Mediante Group Policies puedes hacer que puedan ejecutar o no diferentes aplicaciones, o inclusive el poder detener/pausar/arrancar determinados servicios.

    Pero depeniendo del tipo de desarrollos que hagan a veces la única solución es ponerlos como administraores *locales* de su propio equipo; lo que no es bueno desde el punto de vista seguridad del dominio.

    Si tienes pocas máquinas puede hacerlo manualmente poniendo la cuenta de cada administrador en el grupo local de cada equipo Administradores.

    Si tienes muchos o quieres automatizarlo, puedes hacerlo con Grupos Restringidos. Te dejo unos enlaces para que veas el tema, pero cuidado con las versiones en español de los artículos de la KB porque la "traducción" es terrible

    Grupos restringidos:
    http://technet.microsoft.com/es-es/library/cc785631(WS.10).aspx

    Grupos restringidos de descripción de la directiva de grupo:
    http://support.microsoft.com/kb/279301/es

    Al utilizar los grupos restringidos "miembro de" funcionalidad, directiva grupo de Windows Server 2003 que no se pueden procesar objetos en el orden en que piensa:
    http://support.microsoft.com/kb/925443/es

    Guillermo Delprato - MVP - MCT - MCSE - MCSA - MCTS:AD Buenos Aires, Argentina
    jueves, 18 de junio de 2009 11:51
    Moderador
  • gracias por contestar.


    Exactamente como se haria con los grupos restringidos, no me queda claro el como hacerlo.
    jueves, 18 de junio de 2009 14:02
  • Q tal, la opción de hacerles administradores locales de sus equipos a tus desarrolladores es bastante efectiva, y si no deseas ir puesto por puesto haciendolo, lo puedes realizar desde la consola de usuarios y grupos de Active Directory, escoges el nombre de la estacion de trabajo, boton derecho administrar, y agregas el usuario o usuarios que quieres que sean administrador de ese equipo y ya está, todo es cuestion de volver a iniciar sesión en el equipo con las cuentas agregadas y ya tendran sus privilegios de administrador.

    Saludos,
    • Propuesto como respuesta lagar1977 viernes, 19 de junio de 2009 8:23
    • Marcado como respuesta CURRANTE_IT sábado, 20 de junio de 2009 19:46
    jueves, 18 de junio de 2009 23:02
  • didoarce no conocía esa manera y la estoy probando en un equipo XP SP2 standard del Dominio, pero me sale que la consola de Administración de equipos es sólo lectura en modo remoto y que la ejecute en local. (un pop Up). Es decir, que es útil para ver el Administrador de dispositivos, GPOs locales o similares pero no para esto. A no ser que se modifique algo pro GPO claro...
    viernes, 19 de junio de 2009 8:25
  • gracias por contestar.


    Exactamente como se haria con los grupos restringidos, no me queda claro el como hacerlo.

    Tal vez leyendo los enlaces que te puse :-)
    Guillermo Delprato - MVP - MCT - MCSE - MCSA - MCTS:AD Buenos Aires, Argentina
    viernes, 19 de junio de 2009 11:50
    Moderador
  • Sin comentarios, pero vamos para poner eso, mejor no pongas nada.

    Gracias didoarce

    viernes, 19 de junio de 2009 12:36
  • Lagar1977:

    La consola de Usuarios y equipos de Active Directory la debes ejecutar desde uno de tus controladoras de dominio, ahi si tendrás todos los privilegios.
    viernes, 19 de junio de 2009 13:22