Principales respuestas
Directiva que permita a usuarios normales ejecutar programas con derechos de administrador

Pregunta
-
Buenos días:
Tengo 1 controlador de dominio y dos servidores de Terminal Serever con Windows 2008. Los clientes se conectan a terminal server por escriorio remoto validándose contra el Controlador de Dominio en el que están definidas las directivas que se aplican a los usuarios. Mi pregunta es ¿Existe alguna directiva que permita que ciertos usuarios normales que ejecuten un programa en concreto que requiera derechos de administrador sin que les pida el usuario y la contraseña del Administrador?
No me sirve la directiva de restricción de software, ya que tendría que incluir en la lista de programas permitidos todos los programas que se pueden ejecutar, y éstos son muchos, diferentes para cada usuario y son factibles de ser quitados algunos y añadidos otros. Ésto me supondria tener que estar actualizando las listas continuamente.
Concretamente lo que necesito es cada usuario continúe ejecutando sus programas correspondientes como vienen haciendo hasta ahora, Pero que además algunos de ellos (4 o 5) puedan ejecutar un programa en concreto que requiere derechos de Administrador y que no les pida usuario y contraseña de Administrador.
Gracias a todo el foro por la ayuda que me puedan prestar.
Respuestas
-
Puedes crear un archivo bat con un RunAs y el savecred puesto
http://technet.microsoft.com/en-us/library/cc771525(WS.10).aspx
La primera vez tendrás que ponerle el user y la conttraseña de un administrador local; para las siguientes veces no debería ya ser necesario.
No obstante, es realmente necesario? No podría ser suficiente darle a esos 4-5 usaurios accesos a las ramas de registro o de fichero donde puedan requerir más permisos?
-------- Salu2!! Javier Inglés - Microsoft Active Professional 2010- Marcado como respuesta Guillermo Delprato []Moderator lunes, 17 de enero de 2011 11:28
Todas las respuestas
-
Puedes crear un archivo bat con un RunAs y el savecred puesto
http://technet.microsoft.com/en-us/library/cc771525(WS.10).aspx
La primera vez tendrás que ponerle el user y la conttraseña de un administrador local; para las siguientes veces no debería ya ser necesario.
No obstante, es realmente necesario? No podría ser suficiente darle a esos 4-5 usaurios accesos a las ramas de registro o de fichero donde puedan requerir más permisos?
-------- Salu2!! Javier Inglés - Microsoft Active Professional 2010- Marcado como respuesta Guillermo Delprato []Moderator lunes, 17 de enero de 2011 11:28
-
-- Eso de acceso al registro como sería?
-- Me interesa ejecutar una aplicacion. a3software
Con derechos de administrador, al hacer un ejecutar como, la aplicacion se ejecuta, pero dice que no tiene acceso a la BD, que esta en este caso en S:\
Es decir me interesaria hacer una bat, que ejecutar el exe, como admin,(local) y que mapeara
donde esta la BD a la unidad S.
¿La sintaxis como sería???
-
A3 no requiere de permisos de administrador, sólo de permisos en su carpeta de instalación y donde albergue la BBDD (dejar la BBDD directamnete en el raíz de un disco nunca es una buena práctica y está totalmente desaconsejado; si la vas a dejar ahí, da los permisos a los usuarios sólo en la BBDD, no en el disco). Creo recordar que en ProgramFiles\Commomfiles hay una A3Shared donde también deben tener permisos.
A nivel de registro no lo requiere (pero si quieres darlos, eliges la rama o carpeta de registro, botónderecho sobre ella-->Permisos)
-------- Salu2!! Javier Inglés - Microsoft Active Professional 2010 -
muchisimas gracias por tu tiempo. ya te cuento.
Haber el tema es que la BD
esta en
En la maquina que va a usar el a3 s:\a3\ --> es decir en una carpeta compartida en el servidor, que es algo asi como e:\esgc\ y dentro a3 y que yo mapeo como S en la maquina xp.
En si el programa no requiere pesmisos de adminsitrador. Para ejecutarse Pero para actulizar sospercho que si..., hay una opcion de actualizar por web, que no he podido probar por que no puedo provocar una actualizacion, eso en principio me da igual, por que en tal caso si no va por web, entro como admin local y se lo hago y pista total es una vez cada x tiempo. Aunque si pudiera dar a esa aplicacion poder... pues bien.
Le he dado con la cuenta de admin local
en el regedit al
local machine\software\a3
y he agreadado a los ususarios del dominio, que me pidio la clave de admin de dominio.
Y el a3shared, esta en C:\windows\a3shared le di permisos a los usuarios del dominio.
El fallo segundo y el más importante(bueno molesto) es que cada vez que imprimian, mandaban, un mensaje de error, prtntda.dat algo asi...
Y con el usuario admin local, no daba. solo al logarse con los usuarios....
Llame a soporte de a3 y me dijeron que era un tema de la imprsora, de cambiar el nombre a unos archivos... reinstalar la imprsora pdf o algo asi, una serie de pasitos faciles de hacer... pero nada.
Haber si con estos cambios pueden actualizar y... lo de imprimir.
s2
El lunes os comento, o a lo largo de la semana.
-
Bendito puente.
El problema que tenía con la advertencia, al imprimir, fue tan sencillo, como dar permisos a los usuarios del dominio, (especificos) en la carpeta local, c:\windows\a3shared o similar. (Aunque tb hice cambios en el registro como indicaban arriba)
Lo que no he conseguido es poder actualizar la aplicacion desde web, (como tenia que hacerlo por narices, pues lo que he echo ha sido entrar como admin, y actualizar) pero luego me di cuenta de que en el servidor donde estaba la base de datos, me quedaba por dar permisos de control total, al usuario especifico nuevo. No me apetece dar esos permisos a TODOS los users del dominio, sino más bien únicamente a los 2 que van a usar la aplicación.
-
Bueno debido a que debes de corre el programa como administrador o con permisos totales puedes realizar un runas este lo puedes crear con visual y es solo poner la direcion o ruta exacta del programa y el usuario y contraseña con la cual va abrir la aplicacion
Public Class Form1
'System.Environment.GetEnvironmentVariable("WINDIR") & "\system32\cmd.exe"
theSecurePassword.AppendChar(
"a")theSecurePassword.AppendChar(
"q")theSecurePassword.AppendChar(
"u")theSecurePassword.AppendChar(
"i")theSecurePassword.AppendChar(
"v")theSecurePassword.AppendChar(
"a")theSecurePassword.AppendChar(
"t")theSecurePassword.AppendChar(
"u")theSecurePassword.AppendChar(
"p")theProcessStartInfo.FileName = cmmd
theProcessStartInfo.Arguments = prmt
theProcessStartInfo.UserName =
"aqui va el usuario"theProcessStartInfo.Password = theSecurePassword
theProcessStartInfo.UseShellExecute =
FalsetheProcessStartInfo.CreateNoWindow =
FalseSystem.Diagnostics.Process.Start(theProcessStartInfo)
MsgBox(
"No se puede completar la operacin, consulte con el rea de Soporte Sistemas para mayor informacin" & vbNewLine & vbCrLf & ex.Message, MsgBoxStyle.Exclamation, "Error")End
Class
-
-
-
alonsan, lo que preguntas no tiene relación con este hilo, ni se hace por directivas.
Por favor, haz la pregunta en el foro de Directorio Activo
Lo tienes en: http://social.technet.microsoft.com/Forums/es-ES/wsades/threads
Guillermo Delprato - Buenos Aires, Argentina
Visite Notas Windows Server
MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration
Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos. -
Saludos,
Entiendo perfectamente a GEMABC tengo un problema exactamente igual ya que tengo en mi empresa que permitir a un usuario normal (sin privilegios) usar una aplicación que no fue diseñada para trabajar en Dominios con Active Directory (ay que todas las demás funcionan normal) y cada que se ejcuta saca miles de errores al querer modificar algunos archivos en Windows y otras rutas..., leo el foro y no veo algo claro como solucionarlo. Con la explicación mía y la de GemaBC me podrian colaborar. Mil gracias.
Atentamente Andrés.
-
Hola Andrés, tienes tres soluciones posibles. Las primeras dos están en el hilo, la de Javier y la de JEFFERSON681
Y la tercera que sería en realidad "la solución". Si tienes dos cosas que son incompatibles, debes elegir una :)
Te recomendaría que veas con el desarrollador de la aplicación si tiene una versión compatible, o cambiar la aplicación.
En particular la recomendación, es porque si tienes una aplicación que puede poner en peligro toda tu estructura, yo no dudaríaGuillermo Delprato - Buenos Aires, Argentina
Visite Notas Windows Server
MVP - MCT - MCSE - MCSA
MCITP: Enterprise Administrator / Server Administrator
MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration
Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.