c


 


c  

Es muy común que en las organizaciones se de el caso de que ciertos usuarios

del dominio requieran permisos de administrador local en una o más maquinas por
diversos motivos; sabemos que por defecto al ingresar un equipo al dominio, el
grupo de administradores de dominio es agregado al grupo de administradores
locales, y es claro que bajo ninguna circunstancia vamos a incluir a cada usuario
que requiera ese nivel de permisos dentro del grupo de administradores de
dominio, sin embargo una practica común es que el administrador vaya maquina
por maquina e incluya a estos usuarios o a un grupo determinado en el grupo de
administradores locales, sin duda esto es muy poco practico y tedioso, más aun en
escenarios de 100,200, 1000, 5000 o muchas más maquinas.

En repetidas ocaciones clientes o alumnos me han preguntado que se puede

hacer, o si existe algun script que nos facilite esta tarea, o que si saldra al
mercado una versión de windows o una actualizacion que permita hacerlo«
realmente la solución es bastante sencilla y existe desde hace tiempo (desde
Windows 2000) y esta en las políticas de grupo.

A continuación les mostrare algunas impresiones de pantalla para saber como

hacerlo:

Lo primero que debemos hacer es crear

un grupo de seguridad en nuestro
directorio activo que identifique a los
administradores locales de las
maquinas, para este caso el grupo es
³Local Admins´ y el dominio es
blog.local, posteriormente incluiremos
los usuarios a los cuales requerimos
incluir en el grupo de administradores
de las maquinas del dominio que se
necesiten.

Luego en una maquina del dominio, con

la consola de administración de
políticas de grupo instalada (no debe
ser en un controlador de dominio) y con
un usuario con los permisos
adecuados, creamos una política de
grupo y seguimos los pasos que vemos en la figura.

Cuando vamos a agregar el grupo

seleccionamos como locación el equipo local (no el directorio activo) y despues
seleccionamos el grupo de administrador local de la maquina
(BUILTIN\administrators)

Despues ubicamos el grupo agregado, le damos click derecho propiedades y en la

opcion de miembros de este grupo seleccionamos el grupo de seguridad creado
previamente.
Por último simplemente debemos vincular esta política (GPO) a la unidad
organizativa a la cual pertenezcan los equipos a los que requerimos brindar el
acceso, tambien la podemos aplicar si asi se requiere a todos los equipos del
dominio, pero tengan encuenta que esto incluiriamember servers y asiestariamos
dando mas acceso del requerido a los usuarios, si desean ver los cambios
rapidamente no olviden usar el comando gpupdate /force tanto en clientes como
en servidor.

Por ultimo no olviden que la mejor practica a nivel de seguridad es que nunca se
logee nadie con un usuario administrador en una maquina, siempre se deben
utilizar usuarios restringidos y si se requiere hacer tareas de indole administrativo
debemos acudir a ³runas´.