locked
Logon script y administardor local RRS feed

 > 

  • Pregunta

  • Question
    Inicie sesión para votar
    0
    Inicie sesión para votar

    Buen día, 

    Se tienen ciertos equipos que no se segun no se actualian las gpo o directivas de grupo, y por tl motivo solicitan que se coloque una gpo con un script de gpupdate /gorce.

    Es recomendable hacerlo o no y por qué?

    Es recomendable eliminar el administardor local de los equipos? ya que requierenhacerlo por gpo?

    Gracias por su apoyo

    miércoles, 16 de julio de 2014 14:58

Respuestas

  • Question
    Inicie sesión para votar
    1
    Inicie sesión para votar

    Hola Güera,

    Si las políticas no se están recibiendo correctamente, tampoco se recibirá el gpupdate/force por lo que el esfuerzo será en vano.

    Te recomiendo que verifiques la comunicación de los clientes con los Controladores de Dominio, puedes verificar si se están aplicando las políticas o no desde la consola del GPMC, ejecutando el Group Policy Results.

    Es absolutamente recomendable que no hayan usuarios que sean administradores locales, sin embargo el grupo Administradores Locales si es importante porque es el que usa el administrador de Dominio para tener ese privilegio sobre los clientes, por lo tanto, lo recomendable es que elimines a los miembros del grupo administradores locales pero no al grupo.

    Esto se puede hacer desde política de grupo usando la opción "Restricted Groups" ahí defines quienes quieres que sean administradores locales (Normalmente administradores de red y soporte de TI), esta política está en Computer Configuration/Windows Settings/Security Settings.

    Espero te sea de ayuda.

    Saludos,

    Jesús Peñaranda| MCP,MCT,MCTS,MCITP,MCSA,MCSE

    • Propuesto como respuesta Uriel Almendra jueves, 17 de julio de 2014 18:10
    • Marcado como respuesta Uriel Almendra viernes, 18 de julio de 2014 20:47
    miércoles, 16 de julio de 2014 15:34

Todas las respuestas

  • Question
    Inicie sesión para votar
    1
    Inicie sesión para votar

    Hola Güera,

    Si las políticas no se están recibiendo correctamente, tampoco se recibirá el gpupdate/force por lo que el esfuerzo será en vano.

    Te recomiendo que verifiques la comunicación de los clientes con los Controladores de Dominio, puedes verificar si se están aplicando las políticas o no desde la consola del GPMC, ejecutando el Group Policy Results.

    Es absolutamente recomendable que no hayan usuarios que sean administradores locales, sin embargo el grupo Administradores Locales si es importante porque es el que usa el administrador de Dominio para tener ese privilegio sobre los clientes, por lo tanto, lo recomendable es que elimines a los miembros del grupo administradores locales pero no al grupo.

    Esto se puede hacer desde política de grupo usando la opción "Restricted Groups" ahí defines quienes quieres que sean administradores locales (Normalmente administradores de red y soporte de TI), esta política está en Computer Configuration/Windows Settings/Security Settings.

    Espero te sea de ayuda.

    Saludos,

    Jesús Peñaranda| MCP,MCT,MCTS,MCITP,MCSA,MCSE

    • Propuesto como respuesta Uriel Almendra jueves, 17 de julio de 2014 18:10
    • Marcado como respuesta Uriel Almendra viernes, 18 de julio de 2014 20:47
    miércoles, 16 de julio de 2014 15:34
  • Question
    Inicie sesión para votar
    0
    Inicie sesión para votar

    Hola Jesús,

    Para la parte de comunicaciones, existe algún comando?. 

    Los DNS, o la parte de redes las administra otra área. :(

    Ok, entiendo que el grupo de Administradores locales no se debe eliminar.

    He checado que tambien se puede renombrar.

    Es que existen políticas con restricciones, y que solamente con una cuenta de administrador puedes instalaciones.

    Ok, revisaré lo del Grouo Policy Results,, (que veo que es el asistente).... 

    Apenas estoy metiendome en esto y voy tomando experiencia.

    Muchas gracias por la informacion

    miércoles, 16 de julio de 2014 19:53
  • Question
    Inicie sesión para votar
    2
    Inicie sesión para votar

    Hola Güera, con mucho gusto.

    Te dejo este enlace a un comando llamado "DCDIAG" te va ayudar a correr una serie de pruebas para conocer la salud de tu Directorio Activo (ninguna te causara ningún problema, son solo testeos).

    http://msdn.microsoft.com/es-es/library/cc776854(v=ws.10).aspx

    Saludos,

    Jesús Peñaranda| MCP,MCT,MCTS,MCITP,MCSA,MCSE

    miércoles, 16 de julio de 2014 23:41
  • Question
    Inicie sesión para votar
    0
    Inicie sesión para votar

    Muchas gracias por la informacion,

    Es de gran utilidad.....  la cosa es interpretar

    lunes, 21 de julio de 2014 20:01