none
GPO para Bloquear creación de usuarios administradores RRS feed

  • Pregunta

  • Hola que tal, mi pregunta es bien puntual, se puede crear un GPO para bloquear la creación de un usuario tipo administrador de modo local, teniendo en cuenta que mi servidor esta en Windows 2003, y los usuarios de la red están como tipo administrador, que tan factible es hacer ello??, espero haberme sabido explicar.
    viernes, 14 de enero de 2011 15:34

Respuestas

  • Raul, 

    Cuando se aplica la politica de grupos restringidos ella chequea la membresia del grupo en este caso administradores y suplanta toda la lista local , por la lista configurada en la politica.

     

    De acuerdo al tiempo de aplicacion de politicas pasaria lo siguiente

    1 . Tu configuras Grupos restringidos

    2 . La politica aplica en la maquina local , y deja configurado el grupo segun la GPO

    3. A los 5 minutos el usuario podra agregar un usuario administrador si tiene privilegios de hacerlo.

    4. 85 minutos despues (90 en total) cuando la GPO aplique de nuevo el usuario sera removido de la lista.

     

    Por lo cual esta politica no impide que se agreguen usuarios al grupo , solo se asegura de la membresia al grupo cuando la GPO aplica.

     


    Sebastian del Rio - MCP - MCSA +S - MCSE +S - MCITP:Enterprise Administrator Buenos Aires - Argentina Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho. Ud. asume los riesgos
    • Marcado como respuesta Uriel Almendra viernes, 12 de abril de 2013 17:37
    martes, 18 de enero de 2011 11:53
    Moderador

Todas las respuestas

  • Buenas rpandurb

    Puedes crear dentro del apartadode la GPO Conf. de equipo\Configuracion de de windos\configuracion de seguridad --> grupos restringidos  los unicos administradores locales de todos los equipos y así evitar que sean otros.

    Saludos


    MCSE Formador y Consultor Microsoft.
    viernes, 14 de enero de 2011 15:47
  • Hola Raúl, sigo tus pasos pero una vez ingresado a configuración de seguridad, pero como ingreso "los unicos administradores locales de todos los equipos" como me indicas, porque alli no tengo para activar opción alguna, pero si para agregar, lo vi, y si en caso es eso, tengo que agregar usuario por usuario??
    viernes, 14 de enero de 2011 19:48
  • En usuarios restringidos, aquellos usuarios que ponga como administradores, seran los unicos que salgan enel grupo local de administradores locales de la masquinasque esten en la OU donde apliques la gpo.
    MCSE Formador y Consultor Microsoft.
    lunes, 17 de enero de 2011 8:00
  • Buenos Dias, 

    Si tu quieres evitar que los usuarios puedan crear administradores la respuesta es simple , debes tener usuarios que no tengan privilegios adminsitrativos en las maqiunas :). Si tus usuarios son usuarios llanos por default no pueden crear usuarios administradores locales.

    En cuanto a la politica de grupos restringidos , no impedira que se creen usuarios , pero cada 90 minutos cuando aplique la GPO cualquier usuario que haya sido agregado , va a ser suplantado por la lista configurada.

    Entonces, el tema aqui seria , si los usuarios actualmente son administradores , deberias quitarles el privilegio de administrador local de la maquina y en su lugar darle permisos especificamente para las acciones que necesiten ejecutar , de otra manera ellos podran administrar la maquina, como asi tambien crear usuarios con privilegios de querer hacerlo.

     

     


    Sebastian del Rio - MCP - MCSA +S - MCSE +S - MCITP:Enterprise Administrator Buenos Aires - Argentina Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho. Ud. asume los riesgos
    lunes, 17 de enero de 2011 22:12
    Moderador
  • Creo que la politica de grupos restringidos no esta aclarada:

    "Cuando se aplica una directiva de grupo restringido, se quita cualquier miembro actual de un grupo restringido que no esté en la lista "Miembros" con la excepción de administrador en el grupo Administradores. Se agrega cualquier usuario de la lista "Miembros" que actualmente no es un miembro del grupo restringido. "

    Cuando añadas un grupo que sea "administradores" y añadas las personas que seran miembros, unicamente tendran los permisos de administrador local de los equipos en dominios .


    MCSE Formador y Consultor Microsoft.
    martes, 18 de enero de 2011 7:33
  • Raul, 

    Cuando se aplica la politica de grupos restringidos ella chequea la membresia del grupo en este caso administradores y suplanta toda la lista local , por la lista configurada en la politica.

     

    De acuerdo al tiempo de aplicacion de politicas pasaria lo siguiente

    1 . Tu configuras Grupos restringidos

    2 . La politica aplica en la maquina local , y deja configurado el grupo segun la GPO

    3. A los 5 minutos el usuario podra agregar un usuario administrador si tiene privilegios de hacerlo.

    4. 85 minutos despues (90 en total) cuando la GPO aplique de nuevo el usuario sera removido de la lista.

     

    Por lo cual esta politica no impide que se agreguen usuarios al grupo , solo se asegura de la membresia al grupo cuando la GPO aplica.

     


    Sebastian del Rio - MCP - MCSA +S - MCSE +S - MCITP:Enterprise Administrator Buenos Aires - Argentina Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho. Ud. asume los riesgos
    • Marcado como respuesta Uriel Almendra viernes, 12 de abril de 2013 17:37
    martes, 18 de enero de 2011 11:53
    Moderador
  • Buenas Sebastian no es por debatir,

    pero el punto 3 comentas que a los 5 minutos el usuario podra agregar un usuario administrador si tiene provilegios para hacerlo,

    Si ese usuario no está presente en el grupo administradores locales de la maquina como es posible que pueda hacerlo?

    Entiendo que estamo shablando de un usuario de dominio que solo es miemrbo de grupo usuarios del dominio....

    Saludos.


    MCSE Formador y Consultor Microsoft.
    martes, 18 de enero de 2011 12:36
  • Para eso son los foros para debatir Raul :).

    Estas en lo cierto , en que si un usuario no es administrador no podra agregarse, lo que queria dejar en claro es que aplicar Grupos Restringidos no impide bajo ningun punto de vista agregar usuarios al grupo , solo que cada 90 minutos ( Periodo de aplicacion ) aplicara la lista configurada en Grupos Restringidos.

    Entonces si por X causa alguien con privilegios administrativos agrega un usuario administrador localmente , este quedara hasta que la GPO aplique nuevamente, eso es lo que queria explicar , no se si se entendio de esta manera =)

     

     

     

     


    Sebastian del Rio - MCP - MCSA +S - MCSE +S - MCITP:Enterprise Administrator Buenos Aires - Argentina Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho. Ud. asume los riesgos
    martes, 18 de enero de 2011 12:56
    Moderador
  •  

    Ok,

    Los usuarios de red que Rdanprub se refiere, hacemos hincapie de que no deben tener priviliegios administrativos dentro del dominio.

    Saludos.


    MCSE Formador y Consultor Microsoft.
    martes, 18 de enero de 2011 14:35
  • Buenas tardes Sebatian del Rio, una consulta mira yo quisiera que crear usuario por Default pero me pasa el problema de que cuando creo usuario hay un programa que no se puede ejecutar, mi consulta era, ¿ como darle al usuario el privilegio de UN SOLO PROGRAMA... se puede!!
    gracias sals de PERU
    miércoles, 26 de octubre de 2011 20:29
  • Hola Dr-Hardaware, no te conviene hacer una pregunta directamente a un usuario. Sebastián hace ya varios meses que, supongo por cuestiones de trabajo, no lo veo por estos foros

    Y de todas formas, lo que preguntas no tiene relación con el tema del hilo. Por favor, inicia un nuevo hilo con la pregunta, en el foro General que es donde correspondería.

     


    Guillermo Delprato - Buenos Aires, Argentina
    Visite Notas Windows Server
    MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.
    jueves, 27 de octubre de 2011 15:47
    Moderador