Home
About
Archives
Contactenos
Ayuda | Help

05 2013

Group Policy: Como administrar nuestras cuentas de administrador con ellas. Que son y como utilizar GP Preferences {HowTo}

www.radians.com.ar © 2013Hace tiempo que venimos hablando y escribiendo sobre la utilización de políticas de grupo (Group Policies) para ayudarnos a administrar nuestro entorno de Directory Services dentro de nuestro dominio. Principalmente vimos que son, como se utilizan y varios ejemplos prácticos. Hoy vamos a hablar de las denominadas Group Policies Preferences y como lo utilizaremos para administrar nuestras cuentas de administrador y en definitiva securizar un poco mas nuestros equipos.

Ya hemos visto que por medio de ellas podemos hacer, por ejemplo, que nuestra cuenta de administrador local cambie de nombre, que no sea mas administrator, sino como nosotros queramos (en mi caso, RADLocalAdmin); que esta bueno para que nadie quiera forzar o intentar hackear esta cuenta.

Hace poco tiempo tuve una consulta sobre este tema, una pregunta muy puntual en la cual me recordó este tema, que no todo el mundo conoce. Como hacer que un usuario sea administrador local cuando esta logeado a la maquina, pero que deje de serlo cuando hace un logoff de la misma. Algo mas o menos complejo, si no conocemos como hacerlo, pero simple si recordamos las Group Policies Preferences.

Lo primero que hacemos es abrir la consola Group Policy Management,

www.radians.com.ar © 2013

Seleccionamos la OU a la cual le vamos a aplicar nuestra política, en nuestro caso es la llamada “Developers”. Hacemos un clic con el botón derecho sobre ella y seleccionamos “Create a GPO in this domain, and Link it here…”.

www.radians.com.ar © 2013

Luego ingresamos el nombre de nuestra politica: “Add User to Admin Group and remove when logoff”, y luego, OK.

www.radians.com.ar © 2013www.radians.com.ar © 2013

Hacemos un clic con el botón derecho sobre nuestra política y seleccionamos Edit. Luego vamos a Computer Configuration, Preferences, Control Panel Settings, Local User and Groups.

www.radians.com.ar © 2013

Hacemos un clic con el botón derecho y seleccionamos New, y luego Local Group.

www.radians.com.ar © 2013

Ahora tenemos que seleccionar el grupo "Administrators (built-in)", debemos hacer esto incluso si hemos cambiado el nombre para ocultar el nombre de la cuenta de administrador. Tanto en la seccion “Group Name como en el area “Members”.

www.radians.com.ar © 2013

www.radians.com.ar © 2013

Ahora, debemos marcar los dos tildes “Delete all member users” y “Delete all member groups”. Con estas dos opciones se eliminarán automáticamente los usuarios y/o grupos que no estén agregados explícitamente al grupo.

Advertencia: Debemos estar seguros de que hemos agregado los grupos Domain Admins y Local Administrator para que no nos bloquee a nosotros mismos. Para hacer esto, hacemos lo siguiente hacemos clic en Add y presionamos la tecla F3 y podremos seleccionar la variable de entorno que queramos, en nuestro ejemplo seria %DomainName%\Domain Admins. En mi ejemplo, también agregue mi cuenta de dominio.

Debería quedar en algo similar a lo siguiente:

www.radians.com.ar © 2013

Ahora, lo que deseamos es otorgar a un solo usuario o a un grupo de usuarios dentro del grupo de administradores locales en el equipo, pero aún garantizar que ninguno podrá agregar de forma explícita y sin su aprobación.

Entonces, el nombre del equipo es DSKDEV01 y el nombre de dominio es RADIANS, queremos añadir el grupo "radians\DSKDEV01 Administrators" al grupo de administradores local, pero también queremos que ocurra lo mismo en DSKDEV02, DSKDEV03 y así sucesivamente. Para ello, creamos otro Local Group, y agregamos en la sección Members la entrada %DomainName% \ %ComputerName% Administrators.; con esto creamos una segunda entrada.

www.radians.com.ar © 2013www.radians.com.ar © 2013

Con esto se añade automáticamente un grupo de dominio llamado "dominio\nombreDeEquipo Administradores" al grupo de administradores locales en el equipo al que se aplica la política. Sin embargo, el grupo de "radians\DSKDEV01 Administradores" sólo se agrega al grupo de administradores locales en el equipo DSKDEV01 si ese grupo ya existe. Por lo tanto no es necesario para crear el grupo hasta que surja la necesidad de agregar un usuario o grupo individual a un solo equipo. Una vez creado el grupo podeos agregar un solo usuario o muchos (o grupos) al grupo de dominio.

Otra ventaja de tener este grupo de dominio es que seria el único lugar donde se puede otorgar acceso de administrador en el equipo sin que se sea eliminado automáticamente, lo que hace mucho mas fácil la tarea de auditar quien es o no administrador de los equipos.

Con los cambios que hemos realizado en nuestra política de grupo, hará que nuestros equipos desktops tengan la siguiente configuración:

  • radians\Domain Admins
  • DSKDEV01\Administrator
  • radians\DSKDEV01 Administrators
  • radians\rdilello

www.radians.com.ar © 2013

Cualquier otro usuario o grupo se eliminara automáticamente después de la próxima actualización de la directiva de grupo.

Espero que les sea de interés. Saludos, Roberto Di Lello

Mas Información:

En 2014 debido a nuevas disposiciones de la ley Argentina debo afrontar distintos gastos para mantener el blog en funcionamiento. Si te parecio util la informacion del blog hace click en el boton "DONATE" o Ayudar al Blog - DONAR Si te ha gustado este post, por favor considera Dejar un Comentario o Suscribirse a este sitio por medio de RSS para tener los futuros artículos desarrollados en su lector de feeds.

8 Comentarios to “Group Policy: Como administrar nuestras cuentas de administrador con ellas. Que son y como utilizar GP Preferences {HowTo}”

  1. Hola Roberto he estado leyendo tu blog y me ha servido de muxo , quisiera que me ayudes en un tema que tengo en mi empresa.

    Tenemos un Win server 2008 Enterprice (Domain controller) y el server tiene fallas en sus discos, por ello se ha decidio comprar uno nuevo, la duda es que como hago para migrar ese server al nuevo (Sera un Win 2008 R2 sp1 enterprice). Me darias algunos pasos a seguir, como por ejemplo por donde empezar, para que el DC pase del 2008 al 2008 R2 sin
    afectar el ingreso de los user.

  2. Jose, muchas gracias por comentar y participar. Disculpa mi demora en contestar pero estoy poniendome al dia con todos los mails y consultas via Web que tengo pendientes. He podido recuperar algunos mails que habia perdido con el cambio de proveedor, perdon por el error; calculo que ya no me deberia volver a ocurrir. Mil disculpas!

    Respecto a tu pregunta, es facil. Lo que debes hacer, es implementar tu nuevo hardware con tu windows 2008 r2, luego vas a tener que preparar el dominio para que permita promover el nuevo equipo como controlador de dominio; cuando promueves el nuevo equipo a DC te indica lo que debes hacer. Luego una vez que tenes configurado tu nuevo server (vamos a llamarlo DC02) lo que debes hacer es configurarlo como dns (si es que no lo hiciste cuando lo promoviste), mueves los roles fsmo (en el blog hay tutoriales) y listo. Te recomiendo verificar que la replicacion se haga bien, puede dejarlo un rato los dos conectados no hay problema. Ahora lo que debes verificar es que no te quede sin pasar nada (las apps y servicios extra que hayas implementado en els erver viejo) si todo esta ok en el DC01 haces un demote; que es en definitiva despromover el domain controler y listo, una vez terminado esto puedes apagar el equipo viejo.

    Aprovecho la oportunidad para agradecerte por participar del blog y ayudar a que siga creciendo! Te pido que difundas la direccion del mismo asi podeos llegar a mas gente. Te cuento que hay mucho material en el. Te invito a que veas los labs, videos, tutoriales, notas. Si querés buscar un tema o necesitas ayuda, tenés la solapa AYUDA donde explico un poco como hacerlo, sino también tenés el buscador de google.

    Saludos y gracias!

  3. Buenas noches Roberto. Estuve viendo algunas soluciones de tu blog y no he encontrado referencias para solucionar un problema que tengo actualmente: TENIA un DC con windows 2000 server administrando midominio.local, como servidor secundario un windows 2003 64 R2, al cual le habia trasladado los roles y active directory. Figuraban ambos servidores como controladores de dominio.
    Mi DC principal murio, perdi los discos, por lo que quedo unicamente el W2k3R2 al que tuve que forzar con NTDSUTIL los roles nuevamente para tener control y recuperacion del Active Directory. Al ingresar la primera vez no reconocia AD porque no estaba vinculado al dominio. (ese fue el primero de los errores que arrojo).
    Actualmente tengo los roles FSMO activos en W2k3R2, mediante NTDSUTIL elimine al Servidor W2K inutilizado. Mi problema radica en que no me validan los usuarios en el dominio, ninguno. No puedo ingresar a ningun recurso compartido tanto en servidor como la LAN propiamente dicha.
    Verifique que el DNS apunte al propio servidor.
    Como puedo revertir esto y lograr que los clientes ingresen son sus respectivos usuario sin perder las propiedades de sus perfiles?
    Muchas gracias por la atencion.
    Saludos cordiales, Pedro

  4. Pedro Bolonja, muchas gracias por comentar y participar. Disculpa mi demora en contestar pero estoy poniendome al dia con todos los mails y consultas via Web que tengo pendientes. He podido recuperar algunos mails que habia perdido con el cambio de proveedor, perdon por el error; calculo que ya no me deberia volver a ocurrir. Mil disculpas! Cuando es asi urgente mandame un mensaje por twitter asi veo el mail con urgencia.

    Respecto a tu pregunta, no se si aun tienes el problema. Si le cambias el password a uno de esos usuarios que no funcionan. Funciona??? tenes algun evento asociado? todo pareceria, si es que no tenes eventos, que no esta actualizada la db de active directory, por lo cual puede ser que no te valide los passwords que los usuarios recuerden. Ahora no pudiste recuperar nada de lo anterior?

    Aprovecho la oportunidad para agradecerte por participar del blog y ayudar a que siga creciendo! Te pido que difundas la direccion del mismo asi podeos llegar a mas gente. Te cuento que hay mucho material en el. Te invito a que veas los labs, videos, tutoriales, notas. Si querés buscar un tema o necesitas ayuda, tenés la solapa AYUDA donde explico un poco como hacerlo, sino también tenés el buscador de google.

    Saludos y gracias!

  5. Hola antes que nada un saludo mire tus videos de windows server 2008 y la verdad es que me gustaron mucho tengo una duda para ti ojala y puedas ayudarme ya que yo comienzo en esto y la verdad es que quiero seguir adelante,

    fijate que en la escuela nos dan clases de ingles gratis yo en mis practicas de sistemas hice que la informacion personal de cada usuario se almacenara en una USB pero ahora quiero que funcione desde un servidor. ahora te explico como funciono

    tengo una memoria usb de 2 gb en la cual copie la carpeta y archivo raiz de un programa el cual se va modificando como voy avanzando en el curso y en la raiz de windows modifique el archivo apra que guarde estos cambios directamente en esta memoria es decir que de mi grupo las 32 personas tienen diferentes usb y cada una trabaja sin problemas pero ahora quiero saber si es posible que esto mismo se haga desde un servidor

    que cada usuario se conecte desde cualquier pc en nuestra red y con usuario y password se cargue en automatico estos archivos como si fuesen su usb. esto lo queremos hacer por que es un proyecto en una comunidad con bajos recursos de mi parte ya les he hecho los trabajo sin costo pero esto supera mis conosimientos y la verdad es que no puedo pagar para que hagan este trabajo ya que apenas junto para ms gastos personales y para pensar en seguir estudiando oajala y puedas ayudarme se que no eres santo de la caridad pero lo que puedas decirme me ayuda es mejor que de donde estoy ahora que es en “0”
    gracias.

  6. Adolfo Salazar Arteaga, muchas gracias por comentar y participar. Disculpa mi demora en contestar pero estoy poniendome al dia con todos los mails y consultas via Web que tengo pendientes. He podido recuperar algunos mails que habia perdido con el cambio de proveedor, perdón por el error; calculo que ya no me debería volver a ocurrir. Mil disculpas!

    Respecto a tu pregunta, no hayproblema por los costos, la idea es ayudarte. Ahora como haces que abra los archivos del usb en cada maquina? con algun programa? con algun script? lo que puedes hacer es en un servidor una carpeta compartida, con los permisos que necesites, y modificar ese script/programa para que en lugar de abrirlo desde el usb lo abra desde esa carpeta compartida.

    Aprovecho la oportunidad para agradecerte por participar del blog y ayudar a que siga creciendo! Te pido que difundas la direccion del mismo asi podeos llegar a mas gente. Te cuento que hay mucho material en el. Te invito a que veas los labs, videos, tutoriales, notas. Si querés buscar un tema o necesitas ayuda, tenés la solapa AYUDA donde explico un poco como hacerlo, sino también tenés el buscador de google.

    Saludos y gracias!

  7. Buen día

    Ing. Roberto Di Lello, le comento tengo un problema con una migración de dominio de WINDOWS server 2003 standar a Server 2008 enterprise, el detalle esta en que no me carga correctamente el menu de inicio en windows xp, este lo tengo redireccionado ya probe con la compatibilidad de windows server 2000, 2003 que viene el las opciones avanzadas, espero y me pueda ayudar o bien darme una opcion para poder seguir trabajando, el numero de las estaciones son aproximadamente unas 4000 con windows xp

    saludos, FMAR

  8. Francisco Arango, disculpa mi demora en contestar pero estoy poniendome al dia con todos los mails y consultas via Web que tengo pendientes. He podido recuperar algunos mails que habia perdido con el cambio de proveedor, perdon por el error; calculo que ya no me deberia volver a ocurrir. Mil disculpas!

    Respecto a tu pregunta, sigues con el problema. Tenes algun evento asociado? genera algun error? verificaste usar el FQDN? hiciste algun RSOP como para ver si aplica o no? Te paso un link que te puede ayudar: Introduction to Group Policy Troubleshooting http://technet.microsoft.com/en-us/library/cc776670(v=ws.10).aspx Si tenes mas info escribime asi lo vemos.

    Aprovecho la oportunidad para agradecerte por participar del blog y ayudar a que siga creciendo! Te pido que difundas la direccion del mismo asi podeos llegar a mas gente. Te cuento que hay mucho material en el. Te invito a que veas los labs, videos, tutoriales, notas. Si querés buscar un tema o necesitas ayuda, tenés la solapa AYUDA donde explico un poco como hacerlo, sino también tenés el buscador de google.

    Saludos y gracias!

« »