Como sabemos los grupos locales de las máquinas están predefinidos en una instalación de windows. Cuando metemos una máquina en dominio automáticamente se mete el grupo administradores de dominio dentro del grupo administradores locales de manera que dichos administradores de dominio tengan privilegios administrativos en las máquinas cliente.
Existe una manera de controlar esta pertenecia a grupos por medio de políticas ( GPOs ) de dominio. Imaginemos que queremos que un grupo determinado, por ejemplo un grupo de técnicos de soporte, sean administradores de todas las máquinas de forma local pero no tengan privilegios de administrador de dominio, esto es típico para el mantenimiento de los Pcs en una oficina o para segmentar los privilegios de administración mediante grupos de seguridad para la administración de servidores windows.
Existe una política que podemos usar con este fin, esta es una política de máquina no de usuario.
Esto permite manipular los grupos locales agregando grupos en otros grupos locales de la máquina.
Si queresmos que un grupo determinado ( Soporte_Usuarios ) pertenezca por ejemplo al grupo administradores local de la máquina, haremos lo siguiente, agregaremos nuestro grupo con los usuarios de soporte a la siguiente política “Restricted Groups” de las políticas de usuario en un objeto nuevo de política de dominio.
Ahora agregamos el grupo al que quieres que pertenezca de forma local , agregamos el grupo administradores de dominio.
Debes seleccionar los grupos de dominio, te preguntarás porqué son los de dominio ¿ no deberían ser los locales de la máquina ?
La explicación es que en un Directorio Activo es la bbdd local de usuarios en un controlador de dominio, es el NTDS.dit, bien los gupos de dominio son equivalentes a los grupos locales es decir, el grupo de administradores de dominio equivale al grupo local de administradores y así igualmente para los demás grupos de usuarios.
Debes crear la política y linkarla a la OU que quieras, aquí dentro tendrás las máquinas a la que quieres aplicar la GPO, es decir, las máquinas que quieras que tengan como adminstrador local a ese grupo de dominio que agregaste en primero momento en la política. NO EL DE LA CAONFIGURACIÓN DE DENTRO DE LA POLÍTICA.
Puedes ver como yo linko a la OU ( Pcs ) ahí tengo los Pcs de los usuarios.
Ejecuto un gpupdate /force
Lo hago tanto en el servidor como también en un cliente para ver si se aplica correctamente, esto significa que se aplicará luego después bien con los horarios normales ( 90 a 120 minutos) en las demás máquinas del dominio.
Compruebo en el cliente el grupo de adminsitradores locales para ver que se ha agregado mí grupo:
Has podido comprobar como automáticamente se agregó el grupo Soporte_Usuarios al grupo administradores local de la máquina cliente o el servidor cliente.
Vamos a explicar la diferecia entre agregar el gupo administradores en las dos diferentes secciones de la política:
MEMBER OF THIS GROUP:
El primero se utiliza cuando vas a agregar a un grupo que va a pertenecer a otros grupo y este podrá convivir con más grupos en la lista de administradores locales. El ejemplo que acabamos e mostrar.
THIS GROUP IS A MEMBER OF:
Con la siguiente política te aseguras que sólo el grupo que has seleccionado es el único grupo que está dentro del grupo local de administradores. Si cuando se aplica la política existen más grupos o usuarios dentro del grupo administradores estos son quitados directamente de la lista, permitiendo que sólo sean administradores el grupo que hemos elegido en la política.
Esto te evita que haya grupos que no deseas en los gupos locales de las máquinas. Esto te asegura tener el control total de más máquinas que exiten en tú dominio.
Ves, la política es diferente para el segundo caso:
Sincerament, no he conseguido que me funcione la opción: ( The group is a member of), esto en un entorno virtual, pero si lo he visto en un entorno real.
Si alguien consigue hacer la parte en la que sólo se mantiene el grupo añadido y se elminan automáticamente los demás grupos…. Me lo contáis … ¡!
Os animo a que me digáis si os funciona correctamente la segunda parte.
Trackbacks /
Pingbacks