none
Problema administradores locales mediante GPO RRS feed

  • Pregunta

  • Buen día.

    Les escribo porque quisiera pedir su ayuda.  He entrado a trabajar hace poco en una empresa X con al rededor de 200 usuarios y la misma cantidad de PCs.  Dispongo de un AD (windows server 2008 R2) donde tengo al rededor de 20~25 OUs por cada área.  Dentro de una de ellas (informática), se encuentran todos los usuarios de el área de TI.  Antes de proseguir quiero mencionar 2 puntos:

    1.- Estuve leyendo y entiendo que existe un grupo de seguridad llamado Administradores y otro Administradores del Dominio.  Entiendo que el segundo está incluido dentro del primero (membresía).  Sin embargo, dado que la estructura no la he diseñado yo, menciono otro punto.

    2.- En lugar de usarse el grupo "Administradores de dominio", se ha creado un grupo "Admins. del Dominio" y éste es el que se agrega automáticamente al grupo de administradores locales cuando ingresamos un equipo al dominio (en lugar del "Administradores de dominio" ó "Domain Admins").   Éste cambio no lo entiendo mucho pero dado que la persona que diseñó la estructura ya no labora ni es posible contactarla, tengo que trabajarlo así.

    Ahora bien, todo el personal de TI estaba incluido dentro del grupo "Admins. del dominio" y por ende, dentro del grupo Administradores, con la consiguiente falla de seguridad que esto implica.  El actual jefe ha dispuesto que cambien esta configuración y que la gente de soporte (mesadeayuda) solo tenga acceso a instalar/desinstalar programas, modificar eventualmente el registro de windows, etc en las PCs del dominio pero que no sean administradores de dominio ni puedan logearse en el servidor controlador.

    Estuve averiguando y una forma de hacer esto, esta creando un grupo de seguridad (por ejemplo: Soporte) dentro de una UO especial (por ejemplo: UO -> Soporte IT) y ahí colocar a todos los usuarios de soporte.  Luego mediante una GPO, hacer que todas los equipos del dominio agregue el grupo Soporte al grupo de administradores locales de cada equipo.

    Leí el artículo publicado en: 

    http://social.technet.microsoft.com/Forums/es-ES/wsgpes/thread/88d5629e-1c4e-43fc-acad-ca3fc9c4e2cd

    pero la verdad, no me funcionó.  Básicamente lo que hice (a modo de prueba) fue lo siguiente:  

    Creé una UO llamada Equipos de prueba.  Dentro de esta, creé un grupo con el mismo nombre.  En dicho grupo agregué dos equipos: uno virtual (con XP) y la máquina desde donde me conecto mediante RD (windows 7).  Luego creé una GPO de nombre Local Admins y realizé paso a paso lo indicado en el artículo linkeado líneas arriba:  configuración del equipo, configuración de windows, configuración se seguridad, grupos restringidos.  Cree un nuevo grupo, examinar, grupo administradores (midominio\Administradores), ok, aceptar.  Luego aparece la pestaña de "miembros de este grupo", agregar y aquí incluí mi grupo de seguridad Soporte (midominio\soporte).  

    Hecho esto, vinculé esta GPO a la UO Equipos de prueba y con esto se supone que es todo, verdad? Probé reiniciando los equipos (el XP y el Seven) y nada.  Apliqué el comandogpudpate /force desde el cmd tanto en las workstation como en el servidor y nada.

    ¿Qué estoy haciendo mal?

    Agradezco de antemano toda su ayuda y si necesitan alguna info extra, responderé a la brevedad posible.

    Saludos.


    Víctor Zavala.

    martes, 16 de octubre de 2012 4:00

Respuestas

  • Hola Victor,

    Lo primero de todo, deberias de familiarizarte con los grupos built-in de directorio ya que vas a tener que lidiar con ellos muchas veces. Te dejo este artículo donde vienen todos listados y su ambito de uso explicado:

    http://technet.microsoft.com/en-us/library/cc756898(v=ws.10).aspx

    Sobre la GPO, cuando generas el grupo dentro de los grupos restringidos tienes que poner Administradores (ya que es el local del PC, no el del dominio) y en este incluir al grupo del dominio. Ten cuidado con el uso de las mayusculas y las minúsculas en esta parte.

    Prueba a ver si así te funciona y nos comentas.

    Un saludo


    MCP Windows Server 2003 MCTS WIndows Server 2008 Active Directory 2008 Configuration MCTS Exchange Server 2010 Enterprise Messaging Administrator

    martes, 16 de octubre de 2012 10:09
  • Hola Víctor, a ver si lo que entiendo es lo que necesitas. Tener un grupo, por ejemplo "Soporte Desktops" que puedan instalar, modificar registro, etc. en todos los equipos de los usuarios, pero no sean administradores de los servidores, y menos del Dominio ¿Es así?

    Si fuera así, el procedimiento es el siguiente. Se complica un poquito si tienes las cuentas de máquinas repartidas en varias Unidades Organizativas, pero no es mucho

    Primero debes crear un grupo Global de seguridad, donde pondrás las cuentas de los usuarios que necesitan esos privilegios

    Luego crea una directiva de grupo de acuerdo a lo detallado en:

    How to Configure a Global Group to Be a Member of the Administrators Group on all Workstations:
    http://support.microsoft.com/kb/320065/en-us
    Para W2003 o superiores, en lugar del compando que nombra el artículo (SECEDIT), utiliza "GPUPDATE /FORCE"

    Si necesitas que puedan instalar/desinstalar, actualizar, modificar el registro, etc. la única alternativa es que sean administradores, pero de esta forma serán administradores solamente de las máquinas de usuarios, y no del dominio, ni de los servidores

    Deberías enlazar esta directiva de grupo a cada Unidad Organizativa que contenga las cuentas de máquinas de los usuarios

     


    Guillermo Delprato - Buenos Aires, Argentina
    Visite Windows Server - Todos los Paso a Paso
    MVP - MCT - MCSE - MCSA
    MCSA Windows Server 2008 MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory / Network Configuration / Applications Configuration / Server Virtualization / Windows 7 Configuration / Windows 7 & Office 2010 Deployment / Vista Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    martes, 16 de octubre de 2012 10:41
    Moderador
  • Hola Victor,

    El grupo de administradores es el del equipo cliente y está en la SAM local del cliente, no tiene nada que ver con el de Directorio Activo. Lo que haces con la configuración que te hemos comentado es decir a través de la GPO que dentro del grupo local del PC "Administradores" (sin poner antes el nombre del dominio cuando lo defines), se incluya el grupo del dominio que has generado (ese si, en formato dominio\nombre_del_grupo).

    Asegurate de tener la GPO habilitada y enlazada correctamente a la Unidad Organizativa donde estén los clientes con los que estas probando (esa que has creado para probar). Igualmente puedes hacer un GPRESULT /R dentro del equipo para ver si aparece la GPO como aplicada en el PC (ten en cuenta que este comando te muestra las GPOs aplicadas tanto para el usuario logado como para el equipo, localiza la parte del equipo que es la que nos interesa).

    Un saludo


    MCP Windows Server 2003 MCTS WIndows Server 2008 Active Directory 2008 Configuration MCTS Exchange Server 2010 Enterprise Messaging Administrator

    martes, 16 de octubre de 2012 17:29
  • Si, cuando el servidor lo promocionas, efectivamente deja de tener la SAM local que tenia. Pero, si no me he perdido, lo que tu quieres hacer es que un grupo de directorio activo aparezca dentro del grupo de administradores locales de los equipos cliente.

    Cuando tu estas trabajando con las GPOs tienes que olvidarte de que las estas gestionando desde un Controlador de Dominio y debes pensar que la configuracion se va a aplicar a los equipos donde esa GPO se aplique. En este caso al poner "Administradores" son los de los equipos donde se aplique esa GPO.

    ¿Verificaste en el cliente que se está aplicando correctamente la GPO mediante el comando GPRESULT?

    Un saludo


    MCP Windows Server 2003 MCTS WIndows Server 2008 Active Directory 2008 Configuration MCTS Exchange Server 2010 Enterprise Messaging Administrator

    martes, 16 de octubre de 2012 18:44
  • Nos estamos liando los dos :P

    Si coges el enlace que puso arriba guillermo, tienes que seguir del paso 7 al 11 para preparar los grupos restringidos, primero agregas un grupo, que es el de administradores locales del PC (paso 7) y luego lo editas y a este le agregas el grupo del dominio (pasos 8 al 11).

    No obstante hay una concepto que creo que nos está fallando. En el grupo de directorio debes de poner los usuarios que quieres que queden como administradores locales de los PCs no el grupo de maquinas. La GPO que has creado, si la enlazas en la Unidad Organizativa donde están las cuentas de los equipos ya se va a aplicar a todos estos.(Podrias usar un grupo con cuentas de equipo dentro para hacer un filtro en la GPO, pero en este caso yo creo que no aplica).

    Un saludo


    MCP Windows Server 2003 MCTS WIndows Server 2008 Active Directory 2008 Configuration MCTS Exchange Server 2010 Enterprise Messaging Administrator

    • Marcado como respuesta Víctor Zavala viernes, 19 de octubre de 2012 13:18
    martes, 16 de octubre de 2012 20:05
  • Daniel, ahora creo que soy quien se esta perdiendo.  Así que detallaré lo que estoy realizando.

    Luego de crear la UO, el grupo y meter a ese grupo los equipos donde quiero que aplique dicha GPO (esto en el AD), entro a la administración de directivas de grupo del servidor, ¿Correcto?

    Una vez dentro, me dirigo a Objetos de directiva de grupo y creo una nueva GPO.  La estoy denominando "Local Admins" (cabe mencionar que aqui hay varias GPO ya definidas, todas con los mismos nombres de las UOs en el AD).  Luego le doy editar y me dirigo a Directivas, configuracion de windows, configuracion de seguridad, grupos restringidos. 

    Una vez ahí, eligo agregar un grupo y me aparece la ventana donde doy "Examinar", me aparece la ventana: seleccionar grupos y si tecleo "Administradores" y comprobar nombres, me arroja "midominio\Administradores".  Hasta aquí voy bien?

    Saludos.


    Víctor Zavala.

    Víctor, creo que te conviene ver los conceptos fundamentales sobre directivas, te aclarará el tema y te servirá para otros casos más adelante

    Revisa este enlace a ver si ayuda

    http://social.technet.microsoft.com/Forums/es-ES/wsgpes/thread/b1b8f0ed-4b91-4475-b311-79188a2f5853

     


    Guillermo Delprato - Buenos Aires, Argentina
    Visite Windows Server - Todos los Paso a Paso
    MVP - MCT - MCSE - MCSA
    MCSA Windows Server 2008 MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory / Network Configuration / Applications Configuration / Server Virtualization / Windows 7 Configuration / Windows 7 & Office 2010 Deployment / Vista Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    martes, 16 de octubre de 2012 20:49
    Moderador
  • Víctor... ¡a estudiar! :-)
    Te están faltando conceptos muy importantes. respondo entre líneas

    Guillermo, justo ayer imprimí el contenido de ese enlace.  La verdad le di una leía a groso modo y le daré una mas detallada dentro de un rato. 

    Daniel, te comento lo siguiente ya que masomenos estoy dando por donde va el problema.

    Hice una pequeña modificación: 

    El computador donde estoy usando (ej: PC-01) RD para el controlador de dominio, en local groups, administradores aparecían:
       Administrador
       Admins. del Dominio 

    [Guillermo] Son grupos predefinidos, y se llaman así porque el sistema está en español

       Informatica.

    Le eché un ojo a las UO y encontré que había una "UO" (uso comillas porque no aparece como tal a la hora de entrar al Administración de directivas de grupo) llamada Computers. 

    [Guillermo] Computers (se llama así no importa el idioma) NO es una Unidad Organizativa, y no puedes enlazarle directivas. Mira los símbolos de las "carpetas" y verás que hay de dos tipos diferentes. Las que tienen un "no sé qué" adentro, son UO, las otras no

    Dentro de esta aparecían todos mis equipos que pertenecían al dominio. Esta lista se actualizaba automáticamente al ingresar una nueva PC al dominio (lo probé con mi PC virtualizada "pruebas").  La verdad no me queda muy en claro porque estas no aparecen en la GPO manager.

    [Guillermo] Porque no son UOs. Computers es el contenedo por omisión donde quedan todas las cuentas de máquinas que unes al dominio

    Dentro de otra "UO" (que tampoco aparece como tal a la hora de entrar al Administración de directivas de grupo) llamada Users, 

    [Guillermo] Users tampoco es una UO

    había un grupo llamado Equipos del Dominio, donde sus miembros eran todas las Estaciones que figuraban en la "UO" Computers. Recuerdo que cuando estaba probando, cree otro grupo de seguridad dentro de la UO Informática llamado "Equip Dom" donde agregué todas las PC mediante el "search". Sin embargo este grupo no actualizaba automáticamente sus miembros como si lo hacía el grupo Equipos del Dominio dentro de Users. 

    [Guillermo] Porque todas las máquinas del dominio, por omisión, pertenecen a Equipos del Dominio, así como todos los usuarios, por omisión, pertenecen a Usuarios del Dominio. Cuando creas una cuenta máquina o usuario siempre pertenece a esos grupos

    Hoy saqué el equipo que uso (PC-01) de la UO Computers y lo meti en una UO creada llamada "Equipos de Informatica". Dentro creé un grupo de seguridad y metí la PC-01 a ese grupo. Luego apliqué la GPO creada a esa UO (Equipos de informática) y hualá!, al ir a mi grupo de Administradores locales aparecía:
       Administrador
       Soporte Local  

    [Guillermo] No hace falta el grupo. Hay una mala traducción del inglés. En inglés "Group Policy Object", y está "traducido" como Objeto Directiva de Grupo. A mi entender hubiera sido mucho mejor algo así como "Objeto Conjunto de Configuraciones" porque la palabra "Group" se refiere a un conjunto de configuraciones, no a un grupo de dominio 

    Soporte Local es el grupo global que utilizé para pruebas. Hasta aquí todo normal y feliz. Sin embargo, regresé todo a la normalidad (PC-01 al UO Computers) y como no podía aplicar la GPO al grupo "Equipos del Dominio" (el que se actualiza automaticamente),

     [Guillermo] Porque las directivas de grupo NO se aplican a grupos

    cree una UO con el mismo nombre y moví el grupo desde la "UO" users a la nueva UO creada. Víncule la GPO a esta nueva UO y al aplicar gpupdate /force a la PC-01, me volvió a aparecer:
       Administrador
       Admins. del Dominio
       Informatica. 

    [Guillermo] No es una buena práctica, y puede traer problemas y confusiones, tener nombres repetidos 

    Entiendo entonces que puede haber alguna GPO que esta modificando eso. Así que utilize el RSoP (mmc) en el equipo donde estoy y me genera un reporte de solo "configuracion de equipo". Acabo de revisar todos y cada uno y no encuentro nada que modifique los grupos locales, todas estan en "no definido" :/ 

    [Guillermo] La configuración de Grupos Restrictivos o Restringidos, no recuerdo ahora bien, es una configuración *de máquina*, no es de usuario, ni de grupo

    Que mas puede ser?

    Aquí si estoy un poco perdido y agradeceré tu ayuda.

    Saludos.


    Víctor Zavala.



    Guillermo Delprato - Buenos Aires, Argentina
    Visite Windows Server - Todos los Paso a Paso
    MVP - MCT - MCSE - MCSA
    MCSA Windows Server 2008 MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory / Network Configuration / Applications Configuration / Server Virtualization / Windows 7 Configuration / Windows 7 & Office 2010 Deployment / Vista Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    • Marcado como respuesta Víctor Zavala viernes, 19 de octubre de 2012 13:19
    martes, 16 de octubre de 2012 22:46
    Moderador
  • Victor,

    Como te comenta Guillermo arriba, es prudente que leas algo de documentación (en la technet vas a poder encontrar practicamente todo lo que necesites para entender los conceptos) antes de lanzarte a configurar el servicio de Directorio Activo, más aún si el que estás tocando es el que teneis en producción.

    Te dejo algunos enlaces (aparte de los que ya están en todo el hilo de este mensaje) para que les eches un ojo:

    Conceptos de directorio Activo

    http://technet.microsoft.com/en-us/library/cc776995(v=ws.10).aspx

    Información sobre GPOs

    http://technet.microsoft.com/en-us/windowsserver/bb310732.aspx

    Aparte de esto conviene que trates siempre de localizar en la technet información sobre cualquier duda que tengas además, por supuesto, de escribir aqui en los foros por si alguien puede ayudarte.

    Sobre el tema que tenemos entre manos, vuelve a incluir el equipo que sacaste del grupo de Equipos del Dominio (puesto que puede provocar problemas que no esté ahi). Ten en cuenta que Users y Computers, aunque en la consola de directorio aparecen como UO son un tipo de contenedor distinto (igual que System o Foreign Security Principals) y que no puedes enlazar GPOs en ellas.

    Las GPOs se enlazan generalmente sobre una UO organizativa de Directorio Activo y aplica sobre todos los objetos incluidos en ella (si bien una GPO se utiliza para configurar valores de equipo o de usuario según se hayan modificado esas secciones en la GPO). Una vez enlazada puede filtrarse para aplicar solo a un grupo de usuarios o de equipos dentro de la UO pero debe enlazarse en la UO.

    En lo referente a la configuración que debes hacer, observa la captura de pantalla siguiente. En Goup Name debe aparecer el grupo local del PC donde quieres agregar el grupo (como veras solo Administrators sin el sufijo del dominio). En Members debe aparecer el grupo global (como sugiere el articulo que enlazó Guillermo) que debe contener los usuarios pertenecientes al area de soporte.

    Nuevamente recomendarte que leas bien los conceptos con los que estas trabajando antes de tocar el entorno de producción para evitar generar incidencias. Es mucha información la que tendrás que asimilar pero verás que al final y con un poco de tiempo no es tan complicado :)

    Animo y por supuesto si tienes dudas sobre alguna cosa consultalá aqui (o revisa los mensajes ya publicados) y entre todos trataremos de echarte una mano.

    Un saludo


    MCP Windows Server 2003 MCTS WIndows Server 2008 Active Directory 2008 Configuration MCTS Exchange Server 2010 Enterprise Messaging Administrator

    miércoles, 17 de octubre de 2012 9:32
  • Hola Victor,

    Generalmente se suelen hacer Unidades Organizativas para agrupar los equipos fuera de computers (se hace lo mismo con los usuarios) según el area de negocio a la que pertenecen o el criterio organizativo que se quiera seguir (Por ejemplo, una OU para los equipos de Recursos Humanos, otro para los equipos del area financiera etc...).

    Esto se hace precisamente porque no se pueden aplicar políticas en las OUs de "Users" y "Computers" que es la mejor forma de estandarizar, centralizar y agilizar la administración de los objetos de directorio.

    Nuevamente, antes de tocar nada en producción, lee la información que te hemos pasado Guillermo y yo, familiarizate con los conceptos que aparecen y una vez sepas todas las cosas que intervienen piensa la mejor manera de organizar tu entorno de Directorio (Nuevas Ous, Nuevos grupos, Politicas...).

    Un saludo


    MCP Windows Server 2003 MCTS WIndows Server 2008 Active Directory 2008 Configuration MCTS Exchange Server 2010 Enterprise Messaging Administrator

    miércoles, 17 de octubre de 2012 14:49
  • Empezamos de a poco que hay mucho :-)

    La única Unidad Organizativa por omisión es "Domain Controllers", todas las demás "carpetas" que ves, que no tienen el símbolo adentro son contenedores especiales. No es técnicamente correcto pero puedes imaginarlos como "unidades organizativas restringidas" y sólo las puede crear el propio sistema

    Domain Admins es el grupo prededfinido, que cuando agregas una máquina al Dominio, se "mete" en el grupo local Administrators de cada máquina. Lo que hay que tener en cuenta, es que eso se produce también en los Controladores de Dominio, y por lo tanto ese grupo, además, es administrador del *dominio*
    No tengo ahora una versión en español para confirmarte el nombre exacto del grupo, pero el que veas que se agrega automáticamente al Administradores local de cada máquina, a ese me refiero (Domain Admins, el predefinido)

    El grupo predefinido "Domain Users" es uno al que tienen que pertenecer todas las cuentas de usuarios del Dominio, porque ese agruppo se "mete" en el grupo local "Users" de cada máquina, y es el que le da los privilegios necesarios para usar la máquina

    El grupo "Domain Computers" es correcto que esté en el contenedor "Users"

    Una GPO es un objeto con existencia propia, esto es, puede existir pero no afectar a nada. Para que afecte a usuarios o máquinas, hay que enlazarla (linkearla) a un objeto, que pueden ser Sites, Dominios o Unidades Organizativas
    La parte de Computer Settings afectará a las cuentas de máquina dentro de dicho contenedor
    La parte de User Settings afectará a las cuentas de usuario dentro de dicho contenedor

    No quiero complicarte, pero tampoco mentirte :-) En realidad se puede filtrar la aplicación de GPOs por grupos, pero no es éste el caso, para complicarte ya tendrás tiempo más adelante

    Si quieres aplicar una configuración a *todos* los equipos del Dominio, simplemente la enlazas al Dominio, peeero ten en cuenta que en ese caso se aplicará *realmente a todos*, incluyendo Controladores de Dominios y cualquier otro servidor; que no creo que sea lo que estás buscando.
    Lo más fácil, creo por lo que comentas, es crear una Unidad Organizativa, poner en la misma todas las cuentas de las máquinas de escritorio, y enlazar la GPO a esta Unidad Organizativa

     


    Guillermo Delprato - Buenos Aires, Argentina
    Visite Windows Server - Todos los Paso a Paso
    MVP - MCT - MCSE - MCSA
    MCSA Windows Server 2008 MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory / Network Configuration / Applications Configuration / Server Virtualization / Windows 7 Configuration / Windows 7 & Office 2010 Deployment / Vista Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    miércoles, 17 de octubre de 2012 15:57
    Moderador
  • Guillermo,

    Por matizar lo que comentas, el grupo Domain Admins no se incluye dentro de los controladores de Dominio puesto que estos equipos no tienen una parte de seguridad local. Mas bien se les dan privilegios en estos equipos a través de la Default Domain Controllers Policy.

    Un saludo


    MCP Windows Server 2003 MCTS WIndows Server 2008 Active Directory 2008 Configuration MCTS Exchange Server 2010 Enterprise Messaging Administrator

    • Marcado como respuesta Víctor Zavala viernes, 19 de octubre de 2012 13:19
    miércoles, 17 de octubre de 2012 16:13
  • El grupo por omisión, es el que se agrega automáticamente a todos los grupos locales Administradores; salvo que hayan tocado mucho mucho es AD. Ese grupo también es administrador del Dominio (cuidado)

    Ese es el comportamiento por omisión, así cualquier administrador del dominio, es también administrador de todas las máquinas

    Normalmente no hay ningún problema, y es lo habituall, mover las máquinas desde Computers, a otras Unidades Organizativas. Es la forma de poder aplicarles GPOs (salvo la del dominio, que la heredan)

    Cualquier máquina que agregues al dominio, se seguirá incluyendo en Computers, salvo que utilices el comando REDIRCMP.EXE

     


    Guillermo Delprato - Buenos Aires, Argentina
    Visite Windows Server - Todos los Paso a Paso
    MVP - MCT - MCSE - MCSA
    MCSA Windows Server 2008 MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory / Network Configuration / Applications Configuration / Server Virtualization / Windows 7 Configuration / Windows 7 & Office 2010 Deployment / Vista Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    miércoles, 17 de octubre de 2012 22:33
    Moderador
  • Hola Daniel, Domain Admins (el por omisión) está incluido dentro del Administrators de los DCs

    Y lo de que "no tienen seguridad local" es una mentira piadosa :-)

    No se permite crear usuarios locales, normalmente, pero la contraseña de Directory Service Restore Mode ¿dónde crees que está? ;-)

    O en los Read Only Domain Controllers, se puede delegar la administración local de ese RODC. Así que, esta muy muy limitada, pero que existe SAM, existe SAM

     


    Guillermo Delprato - Buenos Aires, Argentina
    Visite Windows Server - Todos los Paso a Paso
    MVP - MCT - MCSE - MCSA
    MCSA Windows Server 2008 MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory / Network Configuration / Applications Configuration / Server Virtualization / Windows 7 Configuration / Windows 7 & Office 2010 Deployment / Vista Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    • Marcado como respuesta Víctor Zavala viernes, 19 de octubre de 2012 13:19
    miércoles, 17 de octubre de 2012 22:42
    Moderador
  • Hola Guillermo,

    Me referia a que no es administrable, salvo dando privilegios especificos a través de GPO (por no complicar el tema hasta que Victor haya terminado con la lectura de lo que tiene pendiente :)  ).

    Un saludo


    MCP Windows Server 2003 MCTS WIndows Server 2008 Active Directory 2008 Configuration MCTS Exchange Server 2010 Enterprise Messaging Administrator

    • Marcado como respuesta Víctor Zavala viernes, 19 de octubre de 2012 13:19
    jueves, 18 de octubre de 2012 11:19
  • ¿Un día complicado para alguien que está TI? imposible, lo nuestro es un trabajo muy tranquilo :-D :-D :-D
    No te preocupes a veces no "un día solamente"

    Las GPOs se heredan, esto es, si las vinculas al Dominio, las heredan todas las cuentas del Dominio.
    Si las vinculas a una UO, las heredan todas las cuentas dentro de esa UO, y de todas las UO que estén adentro, ...

    La Default Domain Policy, al estar vinculada (enlazada, linkeada) al Dominio, afecta a todas las cuentas del Dominio.

    La Default Domain Controllers Policy afecta a todo lo que esté dentro de la UO Domain Controllers

    La vinculación la puedes ver justamente donde está enlazada, sólo en otras configuraciones usando el administrador de directivas de grupo, puedes ver las vinculadas, y las heredadas

    Resumiendo, que cuando veas una UO no veas una GPO vinculada, no implica que no la esté heredando desde un contenedor superior (otra UO o el Dominio o el Site)

    Sobre cómo crear la jerarquía de UOs, es algo que muchos administradores no conocen. El objetivo final es: facilitar la administración

    Y para esto hay que tener dos cosas en cuenta: si se va a delegar tareas administrativas, y aplicación de GPOs

    En cualquiera de ambos casos, hay justamente que tratar de aprovechar la herencia, tanto sea para delegación como para aplicación de GPOs

    Y algo último para que tengas en cuenta, una GPO es un objeto independiente con existencia propia, por lo tanto puedes tener la misma GPO enlazada a diferentes UOs. No hace falta duplicarla para cada UO

     


    Guillermo Delprato - Buenos Aires, Argentina
    Visite Windows Server - Todos los Paso a Paso
    MVP - MCT - MCSE - MCSA
    MCSA Windows Server 2008 MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory / Network Configuration / Applications Configuration / Server Virtualization / Windows 7 Configuration / Windows 7 & Office 2010 Deployment / Vista Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    • Marcado como respuesta Víctor Zavala lunes, 29 de octubre de 2012 22:05
    viernes, 19 de octubre de 2012 14:22
    Moderador

Todas las respuestas

  • Hola Victor,

    Lo primero de todo, deberias de familiarizarte con los grupos built-in de directorio ya que vas a tener que lidiar con ellos muchas veces. Te dejo este artículo donde vienen todos listados y su ambito de uso explicado:

    http://technet.microsoft.com/en-us/library/cc756898(v=ws.10).aspx

    Sobre la GPO, cuando generas el grupo dentro de los grupos restringidos tienes que poner Administradores (ya que es el local del PC, no el del dominio) y en este incluir al grupo del dominio. Ten cuidado con el uso de las mayusculas y las minúsculas en esta parte.

    Prueba a ver si así te funciona y nos comentas.

    Un saludo


    MCP Windows Server 2003 MCTS WIndows Server 2008 Active Directory 2008 Configuration MCTS Exchange Server 2010 Enterprise Messaging Administrator

    martes, 16 de octubre de 2012 10:09
  • Hola Víctor, a ver si lo que entiendo es lo que necesitas. Tener un grupo, por ejemplo "Soporte Desktops" que puedan instalar, modificar registro, etc. en todos los equipos de los usuarios, pero no sean administradores de los servidores, y menos del Dominio ¿Es así?

    Si fuera así, el procedimiento es el siguiente. Se complica un poquito si tienes las cuentas de máquinas repartidas en varias Unidades Organizativas, pero no es mucho

    Primero debes crear un grupo Global de seguridad, donde pondrás las cuentas de los usuarios que necesitan esos privilegios

    Luego crea una directiva de grupo de acuerdo a lo detallado en:

    How to Configure a Global Group to Be a Member of the Administrators Group on all Workstations:
    http://support.microsoft.com/kb/320065/en-us
    Para W2003 o superiores, en lugar del compando que nombra el artículo (SECEDIT), utiliza "GPUPDATE /FORCE"

    Si necesitas que puedan instalar/desinstalar, actualizar, modificar el registro, etc. la única alternativa es que sean administradores, pero de esta forma serán administradores solamente de las máquinas de usuarios, y no del dominio, ni de los servidores

    Deberías enlazar esta directiva de grupo a cada Unidad Organizativa que contenga las cuentas de máquinas de los usuarios

     


    Guillermo Delprato - Buenos Aires, Argentina
    Visite Windows Server - Todos los Paso a Paso
    MVP - MCT - MCSE - MCSA
    MCSA Windows Server 2008 MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory / Network Configuration / Applications Configuration / Server Virtualization / Windows 7 Configuration / Windows 7 & Office 2010 Deployment / Vista Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    martes, 16 de octubre de 2012 10:41
    Moderador
  • He seguido los pasos que me indicaron pero no logro hacerlo.  Una consulta:  El grupo de administradores (grupo dentro de grupo restringidos) tiene que ser el grupo administradores (midominio/builtin/administradores) o cual?  Porque eso es lo que hago y no logro que replique.

    Saludos.


    Víctor Zavala.

    martes, 16 de octubre de 2012 17:12
  • Hola Victor,

    El grupo de administradores es el del equipo cliente y está en la SAM local del cliente, no tiene nada que ver con el de Directorio Activo. Lo que haces con la configuración que te hemos comentado es decir a través de la GPO que dentro del grupo local del PC "Administradores" (sin poner antes el nombre del dominio cuando lo defines), se incluya el grupo del dominio que has generado (ese si, en formato dominio\nombre_del_grupo).

    Asegurate de tener la GPO habilitada y enlazada correctamente a la Unidad Organizativa donde estén los clientes con los que estas probando (esa que has creado para probar). Igualmente puedes hacer un GPRESULT /R dentro del equipo para ver si aparece la GPO como aplicada en el PC (ten en cuenta que este comando te muestra las GPOs aplicadas tanto para el usuario logado como para el equipo, localiza la parte del equipo que es la que nos interesa).

    Un saludo


    MCP Windows Server 2003 MCTS WIndows Server 2008 Active Directory 2008 Configuration MCTS Exchange Server 2010 Enterprise Messaging Administrator

    martes, 16 de octubre de 2012 17:29
  • Pero si me estoy conectando al servidor controlador del dominio mediante terminal services, si coloco Administradores, ¿No me aparecerá el grupo Administradores del dominio?  Tengo entendido (porque no lo encuentro en la administracion de equipos) que los grupos locales automaticamente se vuelven los del dominio.  Corrigeme si me equivoco.

    Gracias.


    Víctor Zavala.

    martes, 16 de octubre de 2012 17:58
  • Si, cuando el servidor lo promocionas, efectivamente deja de tener la SAM local que tenia. Pero, si no me he perdido, lo que tu quieres hacer es que un grupo de directorio activo aparezca dentro del grupo de administradores locales de los equipos cliente.

    Cuando tu estas trabajando con las GPOs tienes que olvidarte de que las estas gestionando desde un Controlador de Dominio y debes pensar que la configuracion se va a aplicar a los equipos donde esa GPO se aplique. En este caso al poner "Administradores" son los de los equipos donde se aplique esa GPO.

    ¿Verificaste en el cliente que se está aplicando correctamente la GPO mediante el comando GPRESULT?

    Un saludo


    MCP Windows Server 2003 MCTS WIndows Server 2008 Active Directory 2008 Configuration MCTS Exchange Server 2010 Enterprise Messaging Administrator

    martes, 16 de octubre de 2012 18:44
  • Daniel, ahora creo que soy quien se esta perdiendo.  Así que detallaré lo que estoy realizando.

    Luego de crear la UO, el grupo y meter a ese grupo los equipos donde quiero que aplique dicha GPO (esto en el AD), entro a la administración de directivas de grupo del servidor, ¿Correcto?

    Una vez dentro, me dirigo a Objetos de directiva de grupo y creo una nueva GPO.  La estoy denominando "Local Admins" (cabe mencionar que aqui hay varias GPO ya definidas, todas con los mismos nombres de las UOs en el AD).  Luego le doy editar y me dirigo a Directivas, configuracion de windows, configuracion de seguridad, grupos restringidos. 

    Una vez ahí, eligo agregar un grupo y me aparece la ventana donde doy "Examinar", me aparece la ventana: seleccionar grupos y si tecleo "Administradores" y comprobar nombres, me arroja "midominio\Administradores".  Hasta aquí voy bien?

    Saludos.


    Víctor Zavala.

    martes, 16 de octubre de 2012 18:57
  • Nos estamos liando los dos :P

    Si coges el enlace que puso arriba guillermo, tienes que seguir del paso 7 al 11 para preparar los grupos restringidos, primero agregas un grupo, que es el de administradores locales del PC (paso 7) y luego lo editas y a este le agregas el grupo del dominio (pasos 8 al 11).

    No obstante hay una concepto que creo que nos está fallando. En el grupo de directorio debes de poner los usuarios que quieres que queden como administradores locales de los PCs no el grupo de maquinas. La GPO que has creado, si la enlazas en la Unidad Organizativa donde están las cuentas de los equipos ya se va a aplicar a todos estos.(Podrias usar un grupo con cuentas de equipo dentro para hacer un filtro en la GPO, pero en este caso yo creo que no aplica).

    Un saludo


    MCP Windows Server 2003 MCTS WIndows Server 2008 Active Directory 2008 Configuration MCTS Exchange Server 2010 Enterprise Messaging Administrator

    • Marcado como respuesta Víctor Zavala viernes, 19 de octubre de 2012 13:18
    martes, 16 de octubre de 2012 20:05
  • Daniel, ahora creo que soy quien se esta perdiendo.  Así que detallaré lo que estoy realizando.

    Luego de crear la UO, el grupo y meter a ese grupo los equipos donde quiero que aplique dicha GPO (esto en el AD), entro a la administración de directivas de grupo del servidor, ¿Correcto?

    Una vez dentro, me dirigo a Objetos de directiva de grupo y creo una nueva GPO.  La estoy denominando "Local Admins" (cabe mencionar que aqui hay varias GPO ya definidas, todas con los mismos nombres de las UOs en el AD).  Luego le doy editar y me dirigo a Directivas, configuracion de windows, configuracion de seguridad, grupos restringidos. 

    Una vez ahí, eligo agregar un grupo y me aparece la ventana donde doy "Examinar", me aparece la ventana: seleccionar grupos y si tecleo "Administradores" y comprobar nombres, me arroja "midominio\Administradores".  Hasta aquí voy bien?

    Saludos.


    Víctor Zavala.

    Víctor, creo que te conviene ver los conceptos fundamentales sobre directivas, te aclarará el tema y te servirá para otros casos más adelante

    Revisa este enlace a ver si ayuda

    http://social.technet.microsoft.com/Forums/es-ES/wsgpes/thread/b1b8f0ed-4b91-4475-b311-79188a2f5853

     


    Guillermo Delprato - Buenos Aires, Argentina
    Visite Windows Server - Todos los Paso a Paso
    MVP - MCT - MCSE - MCSA
    MCSA Windows Server 2008 MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory / Network Configuration / Applications Configuration / Server Virtualization / Windows 7 Configuration / Windows 7 & Office 2010 Deployment / Vista Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    martes, 16 de octubre de 2012 20:49
    Moderador
  • Guillermo, justo ayer imprimí el contenido de ese enlace.  La verdad le di una leía a groso modo y le daré una mas detallada dentro de un rato. 

    Daniel, te comento lo siguiente ya que masomenos estoy dando por donde va el problema.

    Hice una pequeña modificación: 

    El computador donde estoy usando (ej: PC-01) RD para el controlador de dominio, en local groups, administradores aparecían:
       Administrador
       Admins. del Dominio
       Informatica.

    Le eché un ojo a las UO y encontré que había una "UO" (uso comillas porque no aparece como tal a la hora de entrar al Administración de directivas de grupo) llamada Computers. Dentro de esta aparecían todos mis equipos que pertenecían al dominio. Esta lista se actualizaba automáticamente al ingresar una nueva PC al dominio (lo probé con mi PC virtualizada "pruebas").  La verdad no me queda muy en claro porque estas no aparecen en la GPO manager.

    Dentro de otra "UO" (que tampoco aparece como tal a la hora de entrar al Administración de directivas de grupo) llamada Users, había un grupo llamado Equipos del Dominio, donde sus miembros eran todas las Estaciones que figuraban en la "UO" Computers. Recuerdo que cuando estaba probando, cree otro grupo de seguridad dentro de la UO Informática llamado "Equip Dom" donde agregué todas las PC mediante el "search". Sin embargo este grupo no actualizaba automáticamente sus miembros como si lo hacía el grupo Equipos del Dominio dentro de Users.

    Hoy saqué el equipo que uso (PC-01) de la UO Computers y lo meti en una UO creada llamada "Equipos de Informatica". Dentro creé un grupo de seguridad y metí la PC-01 a ese grupo. Luego apliqué la GPO creada a esa UO (Equipos de informática) y hualá!, al ir a mi grupo de Administradores locales aparecía:
       Administrador
       Soporte Local 

    Soporte Local es el grupo global que utilizé para pruebas. Hasta aquí todo normal y feliz. Sin embargo, regresé todo a la normalidad (PC-01 al UO Computers) y como no podía aplicar la GPO al grupo "Equipos del Dominio" (el que se actualiza automaticamente), cree una UO con el mismo nombre y moví el grupo desde la "UO" users a la nueva UO creada. Víncule la GPO a esta nueva UO y al aplicar gpupdate /force a la PC-01, me volvió a aparecer:
       Administrador
       Admins. del Dominio
       Informatica.

    Entiendo entonces que puede haber alguna GPO que esta modificando eso. Así que utilize el RSoP (mmc) en el equipo donde estoy y me genera un reporte de solo "configuracion de equipo". Acabo de revisar todos y cada uno y no encuentro nada que modifique los grupos locales, todas estan en "no definido" :/

    Que mas puede ser?

    Aquí si estoy un poco perdido y agradeceré tu ayuda.

    Saludos.


    Víctor Zavala.

    martes, 16 de octubre de 2012 21:14
  • Víctor... ¡a estudiar! :-)
    Te están faltando conceptos muy importantes. respondo entre líneas

    Guillermo, justo ayer imprimí el contenido de ese enlace.  La verdad le di una leía a groso modo y le daré una mas detallada dentro de un rato. 

    Daniel, te comento lo siguiente ya que masomenos estoy dando por donde va el problema.

    Hice una pequeña modificación: 

    El computador donde estoy usando (ej: PC-01) RD para el controlador de dominio, en local groups, administradores aparecían:
       Administrador
       Admins. del Dominio 

    [Guillermo] Son grupos predefinidos, y se llaman así porque el sistema está en español

       Informatica.

    Le eché un ojo a las UO y encontré que había una "UO" (uso comillas porque no aparece como tal a la hora de entrar al Administración de directivas de grupo) llamada Computers. 

    [Guillermo] Computers (se llama así no importa el idioma) NO es una Unidad Organizativa, y no puedes enlazarle directivas. Mira los símbolos de las "carpetas" y verás que hay de dos tipos diferentes. Las que tienen un "no sé qué" adentro, son UO, las otras no

    Dentro de esta aparecían todos mis equipos que pertenecían al dominio. Esta lista se actualizaba automáticamente al ingresar una nueva PC al dominio (lo probé con mi PC virtualizada "pruebas").  La verdad no me queda muy en claro porque estas no aparecen en la GPO manager.

    [Guillermo] Porque no son UOs. Computers es el contenedo por omisión donde quedan todas las cuentas de máquinas que unes al dominio

    Dentro de otra "UO" (que tampoco aparece como tal a la hora de entrar al Administración de directivas de grupo) llamada Users, 

    [Guillermo] Users tampoco es una UO

    había un grupo llamado Equipos del Dominio, donde sus miembros eran todas las Estaciones que figuraban en la "UO" Computers. Recuerdo que cuando estaba probando, cree otro grupo de seguridad dentro de la UO Informática llamado "Equip Dom" donde agregué todas las PC mediante el "search". Sin embargo este grupo no actualizaba automáticamente sus miembros como si lo hacía el grupo Equipos del Dominio dentro de Users. 

    [Guillermo] Porque todas las máquinas del dominio, por omisión, pertenecen a Equipos del Dominio, así como todos los usuarios, por omisión, pertenecen a Usuarios del Dominio. Cuando creas una cuenta máquina o usuario siempre pertenece a esos grupos

    Hoy saqué el equipo que uso (PC-01) de la UO Computers y lo meti en una UO creada llamada "Equipos de Informatica". Dentro creé un grupo de seguridad y metí la PC-01 a ese grupo. Luego apliqué la GPO creada a esa UO (Equipos de informática) y hualá!, al ir a mi grupo de Administradores locales aparecía:
       Administrador
       Soporte Local  

    [Guillermo] No hace falta el grupo. Hay una mala traducción del inglés. En inglés "Group Policy Object", y está "traducido" como Objeto Directiva de Grupo. A mi entender hubiera sido mucho mejor algo así como "Objeto Conjunto de Configuraciones" porque la palabra "Group" se refiere a un conjunto de configuraciones, no a un grupo de dominio 

    Soporte Local es el grupo global que utilizé para pruebas. Hasta aquí todo normal y feliz. Sin embargo, regresé todo a la normalidad (PC-01 al UO Computers) y como no podía aplicar la GPO al grupo "Equipos del Dominio" (el que se actualiza automaticamente),

     [Guillermo] Porque las directivas de grupo NO se aplican a grupos

    cree una UO con el mismo nombre y moví el grupo desde la "UO" users a la nueva UO creada. Víncule la GPO a esta nueva UO y al aplicar gpupdate /force a la PC-01, me volvió a aparecer:
       Administrador
       Admins. del Dominio
       Informatica. 

    [Guillermo] No es una buena práctica, y puede traer problemas y confusiones, tener nombres repetidos 

    Entiendo entonces que puede haber alguna GPO que esta modificando eso. Así que utilize el RSoP (mmc) en el equipo donde estoy y me genera un reporte de solo "configuracion de equipo". Acabo de revisar todos y cada uno y no encuentro nada que modifique los grupos locales, todas estan en "no definido" :/ 

    [Guillermo] La configuración de Grupos Restrictivos o Restringidos, no recuerdo ahora bien, es una configuración *de máquina*, no es de usuario, ni de grupo

    Que mas puede ser?

    Aquí si estoy un poco perdido y agradeceré tu ayuda.

    Saludos.


    Víctor Zavala.



    Guillermo Delprato - Buenos Aires, Argentina
    Visite Windows Server - Todos los Paso a Paso
    MVP - MCT - MCSE - MCSA
    MCSA Windows Server 2008 MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory / Network Configuration / Applications Configuration / Server Virtualization / Windows 7 Configuration / Windows 7 & Office 2010 Deployment / Vista Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    • Marcado como respuesta Víctor Zavala viernes, 19 de octubre de 2012 13:19
    martes, 16 de octubre de 2012 22:46
    Moderador
  • Victor,

    Como te comenta Guillermo arriba, es prudente que leas algo de documentación (en la technet vas a poder encontrar practicamente todo lo que necesites para entender los conceptos) antes de lanzarte a configurar el servicio de Directorio Activo, más aún si el que estás tocando es el que teneis en producción.

    Te dejo algunos enlaces (aparte de los que ya están en todo el hilo de este mensaje) para que les eches un ojo:

    Conceptos de directorio Activo

    http://technet.microsoft.com/en-us/library/cc776995(v=ws.10).aspx

    Información sobre GPOs

    http://technet.microsoft.com/en-us/windowsserver/bb310732.aspx

    Aparte de esto conviene que trates siempre de localizar en la technet información sobre cualquier duda que tengas además, por supuesto, de escribir aqui en los foros por si alguien puede ayudarte.

    Sobre el tema que tenemos entre manos, vuelve a incluir el equipo que sacaste del grupo de Equipos del Dominio (puesto que puede provocar problemas que no esté ahi). Ten en cuenta que Users y Computers, aunque en la consola de directorio aparecen como UO son un tipo de contenedor distinto (igual que System o Foreign Security Principals) y que no puedes enlazar GPOs en ellas.

    Las GPOs se enlazan generalmente sobre una UO organizativa de Directorio Activo y aplica sobre todos los objetos incluidos en ella (si bien una GPO se utiliza para configurar valores de equipo o de usuario según se hayan modificado esas secciones en la GPO). Una vez enlazada puede filtrarse para aplicar solo a un grupo de usuarios o de equipos dentro de la UO pero debe enlazarse en la UO.

    En lo referente a la configuración que debes hacer, observa la captura de pantalla siguiente. En Goup Name debe aparecer el grupo local del PC donde quieres agregar el grupo (como veras solo Administrators sin el sufijo del dominio). En Members debe aparecer el grupo global (como sugiere el articulo que enlazó Guillermo) que debe contener los usuarios pertenecientes al area de soporte.

    Nuevamente recomendarte que leas bien los conceptos con los que estas trabajando antes de tocar el entorno de producción para evitar generar incidencias. Es mucha información la que tendrás que asimilar pero verás que al final y con un poco de tiempo no es tan complicado :)

    Animo y por supuesto si tienes dudas sobre alguna cosa consultalá aqui (o revisa los mensajes ya publicados) y entre todos trataremos de echarte una mano.

    Un saludo


    MCP Windows Server 2003 MCTS WIndows Server 2008 Active Directory 2008 Configuration MCTS Exchange Server 2010 Enterprise Messaging Administrator

    miércoles, 17 de octubre de 2012 9:32
  • Víctor... ¡a estudiar! :-)
    Te están faltando conceptos muy importantes. respondo entre líneas

    Guillermo, justo ayer imprimí el contenido de ese enlace.  La verdad le di una leía a groso modo y le daré una mas detallada dentro de un rato. 

    Daniel, te comento lo siguiente ya que masomenos estoy dando por donde va el problema.

    Hice una pequeña modificación: 

    El computador donde estoy usando (ej: PC-01) RD para el controlador de dominio, en local groups, administradores aparecían:
       Administrador
       Admins. del Dominio 

    [Guillermo] Son grupos predefinidos, y se llaman así porque el sistema está en español

       Informatica.

    Le eché un ojo a las UO y encontré que había una "UO" (uso comillas porque no aparece como tal a la hora de entrar al Administración de directivas de grupo) llamada Computers. 

    [Guillermo] Computers (se llama así no importa el idioma) NO es una Unidad Organizativa, y no puedes enlazarle directivas. Mira los símbolos de las "carpetas" y verás que hay de dos tipos diferentes. Las que tienen un "no sé qué" adentro, son UO, las otras no

    Dentro de esta aparecían todos mis equipos que pertenecían al dominio. Esta lista se actualizaba automáticamente al ingresar una nueva PC al dominio (lo probé con mi PC virtualizada "pruebas").  La verdad no me queda muy en claro porque estas no aparecen en la GPO manager.

    [Guillermo] Porque no son UOs. Computers es el contenedo por omisión donde quedan todas las cuentas de máquinas que unes al dominio

    Dentro de otra "UO" (que tampoco aparece como tal a la hora de entrar al Administración de directivas de grupo) llamada Users, 

    [Guillermo] Users tampoco es una UO

    había un grupo llamado Equipos del Dominio, donde sus miembros eran todas las Estaciones que figuraban en la "UO" Computers. Recuerdo que cuando estaba probando, cree otro grupo de seguridad dentro de la UO Informática llamado "Equip Dom" donde agregué todas las PC mediante el "search". Sin embargo este grupo no actualizaba automáticamente sus miembros como si lo hacía el grupo Equipos del Dominio dentro de Users. 

    [Guillermo] Porque todas las máquinas del dominio, por omisión, pertenecen a Equipos del Dominio, así como todos los usuarios, por omisión, pertenecen a Usuarios del Dominio. Cuando creas una cuenta máquina o usuario siempre pertenece a esos grupos

    Hoy saqué el equipo que uso (PC-01) de la UO Computers y lo meti en una UO creada llamada "Equipos de Informatica". Dentro creé un grupo de seguridad y metí la PC-01 a ese grupo. Luego apliqué la GPO creada a esa UO (Equipos de informática) y hualá!, al ir a mi grupo de Administradores locales aparecía:
       Administrador
       Soporte Local  

    [Guillermo] No hace falta el grupo. Hay una mala traducción del inglés. En inglés "Group Policy Object", y está "traducido" como Objeto Directiva de Grupo. A mi entender hubiera sido mucho mejor algo así como "Objeto Conjunto de Configuraciones" porque la palabra "Group" se refiere a un conjunto de configuraciones, no a un grupo de dominio 

    Soporte Local es el grupo global que utilizé para pruebas. Hasta aquí todo normal y feliz. Sin embargo, regresé todo a la normalidad (PC-01 al UO Computers) y como no podía aplicar la GPO al grupo "Equipos del Dominio" (el que se actualiza automaticamente),

     [Guillermo] Porque las directivas de grupo NO se aplican a grupos

    cree una UO con el mismo nombre y moví el grupo desde la "UO" users a la nueva UO creada. Víncule la GPO a esta nueva UO y al aplicar gpupdate /force a la PC-01, me volvió a aparecer:
       Administrador
       Admins. del Dominio
       Informatica. 

    [Guillermo] No es una buena práctica, y puede traer problemas y confusiones, tener nombres repetidos 

    Entiendo entonces que puede haber alguna GPO que esta modificando eso. Así que utilize el RSoP (mmc) en el equipo donde estoy y me genera un reporte de solo "configuracion de equipo". Acabo de revisar todos y cada uno y no encuentro nada que modifique los grupos locales, todas estan en "no definido" :/ 

    [Guillermo] La configuración de Grupos Restrictivos o Restringidos, no recuerdo ahora bien, es una configuración *de máquina*, no es de usuario, ni de grupo

    Que mas puede ser?

    Aquí si estoy un poco perdido y agradeceré tu ayuda.

    Saludos.


    Víctor Zavala.



    Guillermo Delprato - Buenos Aires, Argentina
    Visite Windows Server - Todos los Paso a Paso
    MVP - MCT - MCSE - MCSA
    MCSA Windows Server 2008 MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory / Network Configuration / Applications Configuration / Server Virtualization / Windows 7 Configuration / Windows 7 & Office 2010 Deployment / Vista Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    Guillermo, sí, soy conciente de que me falta varios conceptos primordiales.  También agradecer por la aclaración en cuanto a "Users" y "Computers".  Ahora bien, te respondo algunas de tus observaciones:

    [Guillermo] Son grupos predefinidos, y se llaman así porque el sistema está en español

       Informatica.  

    Entiendo eso pero debo acotar lo siguiente:  En mi dominio, existen dos grupos, esto es "Administradores de dominio" (vacío/sin integrantes, sin miembros ni membresía a ningun grupo) y "Admins. del Dominio"(con todos los 'administradores' como miembros y miembro del grupo Administradores).  El segundo ha sido creado por la persona que antes tenía encargado esto.  El grupo que entiendo se carga por defecto a los administradores locales es el de Administradores de dominio (o Domain Admins) y nada más.  ¿Correcto? Entonces si se está modificando esto es por alguna política ya que se agrega el otro grupo (admins. del dominio) e Informática.

    [Guillermo] Porque todas las máquinas del dominio, por omisión, pertenecen a Equipos del Dominio, así como todos los usuarios, por omisión, pertenecen a Usuarios del Dominio. Cuando creas una cuenta máquina o usuario siempre pertenece a esos grupos

    Aquí tengo una duda.  Lo de que todos los usuarios pertenecen por defecto al grupo Usuarios del Dominio lo comprendo (aunque cuando estuve revisando algunos no tenían ese grupo -ignoro la razón- y tuve que agregarlo manualmente).  El grupo global "Equipos del Dominio" es un grupo que está dentro de Users.  Esto también viene por defecto?  No debería estar en todo caso dentro de Computers?

    Guillermo] No hace falta el grupo. Hay una mala traducción del inglés. En inglés "Group Policy Object", y está "traducido" como Objeto Directiva de Grupo. A mi entender hubiera sido mucho mejor algo así como "Objeto Conjunto de Configuraciones" porque la palabra "Group" se refiere a un conjunto de configuraciones, no a un grupo de dominio 

    [Guillermo] Porque las directivas de grupo NO se aplican a grupos

    Gracias por la aclaración en cuanto a la traducción (algo ya había leído en el link que me mandaste).  Entiendo que una UO es la unidad mas pequeña a la que una GPO se puede aplicar.  

    [Guillermo] No es una buena práctica, y puede traer problemas y confusiones, tener nombres repetidos 

    [Guillermo] La configuración de Grupos Restrictivos o Restringidos, no recuerdo ahora bien, es una configuración *de máquina*, no es de usuario, ni de grupo

    Por lo mismo, cuando aplique el RSoP solo me arrojo políticas en "Configuracion de Equipo".  Si la política quiero aplicarla a todos mis equipos del Dominio, entonces ¿Qué es lo que debería hacer?

    Saludos coordiales y gracias nuevamente por la información.


    Víctor Zavala.

    miércoles, 17 de octubre de 2012 13:41
  • Victor,

    Como te comenta Guillermo arriba, es prudente que leas algo de documentación (en la technet vas a poder encontrar practicamente todo lo que necesites para entender los conceptos) antes de lanzarte a configurar el servicio de Directorio Activo, más aún si el que estás tocando es el que teneis en producción.

    Te dejo algunos enlaces (aparte de los que ya están en todo el hilo de este mensaje) para que les eches un ojo:

    Conceptos de directorio Activo

    http://technet.microsoft.com/en-us/library/cc776995(v=ws.10).aspx

    Información sobre GPOs

    http://technet.microsoft.com/en-us/windowsserver/bb310732.aspx

    Aparte de esto conviene que trates siempre de localizar en la technet información sobre cualquier duda que tengas además, por supuesto, de escribir aqui en los foros por si alguien puede ayudarte.

    Sobre el tema que tenemos entre manos, vuelve a incluir el equipo que sacaste del grupo de Equipos del Dominio (puesto que puede provocar problemas que no esté ahi). Ten en cuenta que Users y Computers, aunque en la consola de directorio aparecen como UO son un tipo de contenedor distinto (igual que System o Foreign Security Principals) y que no puedes enlazar GPOs en ellas.

    Las GPOs se enlazan generalmente sobre una UO organizativa de Directorio Activo y aplica sobre todos los objetos incluidos en ella (si bien una GPO se utiliza para configurar valores de equipo o de usuario según se hayan modificado esas secciones en la GPO). Una vez enlazada puede filtrarse para aplicar solo a un grupo de usuarios o de equipos dentro de la UO pero debe enlazarse en la UO.

    En lo referente a la configuración que debes hacer, observa la captura de pantalla siguiente. En Goup Name debe aparecer el grupo local del PC donde quieres agregar el grupo (como veras solo Administrators sin el sufijo del dominio). En Members debe aparecer el grupo global (como sugiere el articulo que enlazó Guillermo) que debe contener los usuarios pertenecientes al area de soporte.

    Nuevamente recomendarte que leas bien los conceptos con los que estas trabajando antes de tocar el entorno de producción para evitar generar incidencias. Es mucha información la que tendrás que asimilar pero verás que al final y con un poco de tiempo no es tan complicado :)

    Animo y por supuesto si tienes dudas sobre alguna cosa consultalá aqui (o revisa los mensajes ya publicados) y entre todos trataremos de echarte una mano.

    Un saludo


    MCP Windows Server 2003 MCTS WIndows Server 2008 Active Directory 2008 Configuration MCTS Exchange Server 2010 Enterprise Messaging Administrator

    Daniel, sí logre hacer la configuración que detallas en el screenshoot pero cuando se lo aplicaba a una sola PC que movía fuera de Computers.  Sin embargo, la pregunta es básicamente ¿Cómo haría para aplicarla a todas mis PCs del dominio dado que no puedo aplicarla sobre Computers y el grupo "Equipos del Dominio" está dentro de Users?

    Saludos y gracias. 


    Víctor Zavala.

    miércoles, 17 de octubre de 2012 14:17
  • Hola Victor,

    Generalmente se suelen hacer Unidades Organizativas para agrupar los equipos fuera de computers (se hace lo mismo con los usuarios) según el area de negocio a la que pertenecen o el criterio organizativo que se quiera seguir (Por ejemplo, una OU para los equipos de Recursos Humanos, otro para los equipos del area financiera etc...).

    Esto se hace precisamente porque no se pueden aplicar políticas en las OUs de "Users" y "Computers" que es la mejor forma de estandarizar, centralizar y agilizar la administración de los objetos de directorio.

    Nuevamente, antes de tocar nada en producción, lee la información que te hemos pasado Guillermo y yo, familiarizate con los conceptos que aparecen y una vez sepas todas las cosas que intervienen piensa la mejor manera de organizar tu entorno de Directorio (Nuevas Ous, Nuevos grupos, Politicas...).

    Un saludo


    MCP Windows Server 2003 MCTS WIndows Server 2008 Active Directory 2008 Configuration MCTS Exchange Server 2010 Enterprise Messaging Administrator

    miércoles, 17 de octubre de 2012 14:49
  • Empezamos de a poco que hay mucho :-)

    La única Unidad Organizativa por omisión es "Domain Controllers", todas las demás "carpetas" que ves, que no tienen el símbolo adentro son contenedores especiales. No es técnicamente correcto pero puedes imaginarlos como "unidades organizativas restringidas" y sólo las puede crear el propio sistema

    Domain Admins es el grupo prededfinido, que cuando agregas una máquina al Dominio, se "mete" en el grupo local Administrators de cada máquina. Lo que hay que tener en cuenta, es que eso se produce también en los Controladores de Dominio, y por lo tanto ese grupo, además, es administrador del *dominio*
    No tengo ahora una versión en español para confirmarte el nombre exacto del grupo, pero el que veas que se agrega automáticamente al Administradores local de cada máquina, a ese me refiero (Domain Admins, el predefinido)

    El grupo predefinido "Domain Users" es uno al que tienen que pertenecer todas las cuentas de usuarios del Dominio, porque ese agruppo se "mete" en el grupo local "Users" de cada máquina, y es el que le da los privilegios necesarios para usar la máquina

    El grupo "Domain Computers" es correcto que esté en el contenedor "Users"

    Una GPO es un objeto con existencia propia, esto es, puede existir pero no afectar a nada. Para que afecte a usuarios o máquinas, hay que enlazarla (linkearla) a un objeto, que pueden ser Sites, Dominios o Unidades Organizativas
    La parte de Computer Settings afectará a las cuentas de máquina dentro de dicho contenedor
    La parte de User Settings afectará a las cuentas de usuario dentro de dicho contenedor

    No quiero complicarte, pero tampoco mentirte :-) En realidad se puede filtrar la aplicación de GPOs por grupos, pero no es éste el caso, para complicarte ya tendrás tiempo más adelante

    Si quieres aplicar una configuración a *todos* los equipos del Dominio, simplemente la enlazas al Dominio, peeero ten en cuenta que en ese caso se aplicará *realmente a todos*, incluyendo Controladores de Dominios y cualquier otro servidor; que no creo que sea lo que estás buscando.
    Lo más fácil, creo por lo que comentas, es crear una Unidad Organizativa, poner en la misma todas las cuentas de las máquinas de escritorio, y enlazar la GPO a esta Unidad Organizativa

     


    Guillermo Delprato - Buenos Aires, Argentina
    Visite Windows Server - Todos los Paso a Paso
    MVP - MCT - MCSE - MCSA
    MCSA Windows Server 2008 MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory / Network Configuration / Applications Configuration / Server Virtualization / Windows 7 Configuration / Windows 7 & Office 2010 Deployment / Vista Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    miércoles, 17 de octubre de 2012 15:57
    Moderador
  • Guillermo,

    Por matizar lo que comentas, el grupo Domain Admins no se incluye dentro de los controladores de Dominio puesto que estos equipos no tienen una parte de seguridad local. Mas bien se les dan privilegios en estos equipos a través de la Default Domain Controllers Policy.

    Un saludo


    MCP Windows Server 2003 MCTS WIndows Server 2008 Active Directory 2008 Configuration MCTS Exchange Server 2010 Enterprise Messaging Administrator

    • Marcado como respuesta Víctor Zavala viernes, 19 de octubre de 2012 13:19
    miércoles, 17 de octubre de 2012 16:13
  • Empezamos de a poco que hay mucho :-)

    La única Unidad Organizativa por omisión es "Domain Controllers", todas las demás "carpetas" que ves, que no tienen el símbolo adentro son contenedores especiales. No es técnicamente correcto pero puedes imaginarlos como "unidades organizativas restringidas" y sólo las puede crear el propio sistema

    Domain Admins es el grupo prededfinido, que cuando agregas una máquina al Dominio, se "mete" en el grupo local Administrators de cada máquina. Lo que hay que tener en cuenta, es que eso se produce también en los Controladores de Dominio, y por lo tanto ese grupo, además, es administrador del *dominio*
    No tengo ahora una versión en español para confirmarte el nombre exacto del grupo, pero el que veas que se agrega automáticamente al Administradores local de cada máquina, a ese me refiero (Domain Admins, el predefinido)

    El grupo predefinido "Domain Users" es uno al que tienen que pertenecer todas las cuentas de usuarios del Dominio, porque ese agruppo se "mete" en el grupo local "Users" de cada máquina, y es el que le da los privilegios necesarios para usar la máquina

    El grupo "Domain Computers" es correcto que esté en el contenedor "Users"

    Una GPO es un objeto con existencia propia, esto es, puede existir pero no afectar a nada. Para que afecte a usuarios o máquinas, hay que enlazarla (linkearla) a un objeto, que pueden ser Sites, Dominios o Unidades Organizativas
    La parte de Computer Settings afectará a las cuentas de máquina dentro de dicho contenedor
    La parte de User Settings afectará a las cuentas de usuario dentro de dicho contenedor

    No quiero complicarte, pero tampoco mentirte :-) En realidad se puede filtrar la aplicación de GPOs por grupos, pero no es éste el caso, para complicarte ya tendrás tiempo más adelante

    Si quieres aplicar una configuración a *todos* los equipos del Dominio, simplemente la enlazas al Dominio, peeero ten en cuenta que en ese caso se aplicará *realmente a todos*, incluyendo Controladores de Dominios y cualquier otro servidor; que no creo que sea lo que estás buscando.
    Lo más fácil, creo por lo que comentas, es crear una Unidad Organizativa, poner en la misma todas las cuentas de las máquinas de escritorio, y enlazar la GPO a esta Unidad Organizativa

     


    Guillermo Delprato - Buenos Aires, Argentina
    Visite Windows Server - Todos los Paso a Paso
    MVP - MCT - MCSE - MCSA
    MCSA Windows Server 2008 MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory / Network Configuration / Applications Configuration / Server Virtualization / Windows 7 Configuration / Windows 7 & Office 2010 Deployment / Vista Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    Un punto Guillermo.  En mi AD tengo dos grupos:

    * Admins. del dominio

    *Administradores de Dominio

    Entiendo que el grupo por defecto sería el segundo.  Desconozco con que objeto se creó el primero y ahora todas las máquinas lo asumen dentro de Local Administrators (que es lo que también quiero averiguar).  Debió ser el primero (dada una correcta traducción de Domain Admins).

    Ahora, si yo saco (muevo) del grupo Computers a todas las PCs del dominio a una unidad organizativa aparte, que riesgos existen?  Cuando añado una nueva PC al dominio, se volverá a agregar en el grupo Computers y luego tendría que moverla manualmente a la otra UO?

    Gracias.


    Víctor Zavala.

    miércoles, 17 de octubre de 2012 19:21
  • Hola Victor,

    Generalmente se suelen hacer Unidades Organizativas para agrupar los equipos fuera de computers (se hace lo mismo con los usuarios) según el area de negocio a la que pertenecen o el criterio organizativo que se quiera seguir (Por ejemplo, una OU para los equipos de Recursos Humanos, otro para los equipos del area financiera etc...).

    Esto se hace precisamente porque no se pueden aplicar políticas en las OUs de "Users" y "Computers" que es la mejor forma de estandarizar, centralizar y agilizar la administración de los objetos de directorio.

    Nuevamente, antes de tocar nada en producción, lee la información que te hemos pasado Guillermo y yo, familiarizate con los conceptos que aparecen y una vez sepas todas las cosas que intervienen piensa la mejor manera de organizar tu entorno de Directorio (Nuevas Ous, Nuevos grupos, Politicas...).

    Un saludo


    MCP Windows Server 2003 MCTS WIndows Server 2008 Active Directory 2008 Configuration MCTS Exchange Server 2010 Enterprise Messaging Administrator

    Daniel basicamente preguntarte lo mismo que ha Guillermo.  Entiendo que al agregar una PC al dominio, automáticamente se añadirá a Computers.  Debo luego moverlas manualmente?  ¿Tiene esto algun efecto secundario teniendo en cuenta que automáticamente se añadirán a Equipos del dominio?

    Saludos.


    Víctor Zavala.

    miércoles, 17 de octubre de 2012 19:29
  • El grupo por omisión, es el que se agrega automáticamente a todos los grupos locales Administradores; salvo que hayan tocado mucho mucho es AD. Ese grupo también es administrador del Dominio (cuidado)

    Ese es el comportamiento por omisión, así cualquier administrador del dominio, es también administrador de todas las máquinas

    Normalmente no hay ningún problema, y es lo habituall, mover las máquinas desde Computers, a otras Unidades Organizativas. Es la forma de poder aplicarles GPOs (salvo la del dominio, que la heredan)

    Cualquier máquina que agregues al dominio, se seguirá incluyendo en Computers, salvo que utilices el comando REDIRCMP.EXE

     


    Guillermo Delprato - Buenos Aires, Argentina
    Visite Windows Server - Todos los Paso a Paso
    MVP - MCT - MCSE - MCSA
    MCSA Windows Server 2008 MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory / Network Configuration / Applications Configuration / Server Virtualization / Windows 7 Configuration / Windows 7 & Office 2010 Deployment / Vista Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    miércoles, 17 de octubre de 2012 22:33
    Moderador
  • Hola Daniel, Domain Admins (el por omisión) está incluido dentro del Administrators de los DCs

    Y lo de que "no tienen seguridad local" es una mentira piadosa :-)

    No se permite crear usuarios locales, normalmente, pero la contraseña de Directory Service Restore Mode ¿dónde crees que está? ;-)

    O en los Read Only Domain Controllers, se puede delegar la administración local de ese RODC. Así que, esta muy muy limitada, pero que existe SAM, existe SAM

     


    Guillermo Delprato - Buenos Aires, Argentina
    Visite Windows Server - Todos los Paso a Paso
    MVP - MCT - MCSE - MCSA
    MCSA Windows Server 2008 MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory / Network Configuration / Applications Configuration / Server Virtualization / Windows 7 Configuration / Windows 7 & Office 2010 Deployment / Vista Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    • Marcado como respuesta Víctor Zavala viernes, 19 de octubre de 2012 13:19
    miércoles, 17 de octubre de 2012 22:42
    Moderador
  • Hola Guillermo,

    Me referia a que no es administrable, salvo dando privilegios especificos a través de GPO (por no complicar el tema hasta que Victor haya terminado con la lectura de lo que tiene pendiente :)  ).

    Un saludo


    MCP Windows Server 2003 MCTS WIndows Server 2008 Active Directory 2008 Configuration MCTS Exchange Server 2010 Enterprise Messaging Administrator

    • Marcado como respuesta Víctor Zavala viernes, 19 de octubre de 2012 13:19
    jueves, 18 de octubre de 2012 11:19
  • Buen día.  Ante todo agradecer por la información brindada (me fue de mucha utilidad) y ofrecerles una disculpa por la demora en responder pero ayer tuve un día complicado :/.

    Con respecto a mi problema, lo que hice fue mover todos mis equipos del contenedor Computers a una UO que creé.  Noté que no todas mis computadoras estaban dentro de ese contenedor sino que habían equipos que estaban dentro de otras UO correspondientes a su área.  La verdad, la distribución que se ha venido manejando está bastante desordenada y como les mencioné, cada UO tiene una GPO vinculada.  Son alrededor de 60 GPOs que están definidas así que aprovecharé el fin de semana para echarles un ojo a cada una de ellas.

    Por otro lado, antes de dar por cerrada/contestada mi pregunta, quisiera hacerles una última consulta.

    Dentro de las GPOs hay 2 llamadas Default Domain Policy y Default Domain Controllers Policy que, según he leído, la primera se aplica a todos los equipos unidos al dominio y la segunda al controlador(es) del dominio.  Al abrir el administrador de GPOs, vi que en "Domain Controllers" la segunda estaba vinculada pero sin embargo, en todas las UO no figuraba la primera vinculada.  Mi pregunta es: ¿Este vínculo viene por defecto y no debe aparecer?  Mi sentido común me indica que sí y que fué quitado para aplicar GPOs independientes a cada UO pero quería su confirmación.

    Gracias por la ayuda.  Saludos coordiales.

    viernes, 19 de octubre de 2012 13:34
  • ¿Un día complicado para alguien que está TI? imposible, lo nuestro es un trabajo muy tranquilo :-D :-D :-D
    No te preocupes a veces no "un día solamente"

    Las GPOs se heredan, esto es, si las vinculas al Dominio, las heredan todas las cuentas del Dominio.
    Si las vinculas a una UO, las heredan todas las cuentas dentro de esa UO, y de todas las UO que estén adentro, ...

    La Default Domain Policy, al estar vinculada (enlazada, linkeada) al Dominio, afecta a todas las cuentas del Dominio.

    La Default Domain Controllers Policy afecta a todo lo que esté dentro de la UO Domain Controllers

    La vinculación la puedes ver justamente donde está enlazada, sólo en otras configuraciones usando el administrador de directivas de grupo, puedes ver las vinculadas, y las heredadas

    Resumiendo, que cuando veas una UO no veas una GPO vinculada, no implica que no la esté heredando desde un contenedor superior (otra UO o el Dominio o el Site)

    Sobre cómo crear la jerarquía de UOs, es algo que muchos administradores no conocen. El objetivo final es: facilitar la administración

    Y para esto hay que tener dos cosas en cuenta: si se va a delegar tareas administrativas, y aplicación de GPOs

    En cualquiera de ambos casos, hay justamente que tratar de aprovechar la herencia, tanto sea para delegación como para aplicación de GPOs

    Y algo último para que tengas en cuenta, una GPO es un objeto independiente con existencia propia, por lo tanto puedes tener la misma GPO enlazada a diferentes UOs. No hace falta duplicarla para cada UO

     


    Guillermo Delprato - Buenos Aires, Argentina
    Visite Windows Server - Todos los Paso a Paso
    MVP - MCT - MCSE - MCSA
    MCSA Windows Server 2008 MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory / Network Configuration / Applications Configuration / Server Virtualization / Windows 7 Configuration / Windows 7 & Office 2010 Deployment / Vista Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    • Marcado como respuesta Víctor Zavala lunes, 29 de octubre de 2012 22:05
    viernes, 19 de octubre de 2012 14:22
    Moderador