{"id":2114,"date":"2013-05-03T17:11:13","date_gmt":"2013-05-03T20:11:13","guid":{"rendered":"http:\/\/www.radians.com.ar\/blog\/?p=2114"},"modified":"2015-09-18T19:22:21","modified_gmt":"2015-09-18T22:22:21","slug":"group-policy-como-administrar-nuestras-cuentas-de-administrador-con-ellas-que-son-y-como-utilizar-gp-preferences-howto","status":"publish","type":"post","link":"https:\/\/www.radians.com.ar\/blog\/?p=2114","title":{"rendered":"Group Policy: Como administrar nuestras cuentas de administrador con ellas. Que son y como utilizar GP Preferences {HowTo}"},"content":{"rendered":"

\"www.radians.com.ar<\/a>Hace tiempo que venimos hablando y escribiendo sobre la utilizaci\u00f3n de pol\u00edticas de grupo (Group Policies<\/strong>) para ayudarnos a administrar nuestro entorno de Directory Services dentro de nuestro dominio. Principalmente vimos que son, como se utilizan y varios ejemplos pr\u00e1cticos. Hoy vamos a hablar de las denominadas Group Policies Preferences<\/em><\/strong> y como lo utilizaremos para administrar nuestras cuentas de administrador y en definitiva securizar un poco mas nuestros equipos.<\/p>\n

Ya hemos visto que por medio de ellas podemos hacer, por ejemplo, que nuestra cuenta de administrador local cambie de nombre, que no sea mas administrator, sino como nosotros queramos (en mi caso, RADLocalAdmin<\/font><\/strong>); que esta bueno para que nadie quiera forzar o intentar hackear esta cuenta. <\/p>\n

Hace poco tiempo tuve una consulta sobre este tema, una pregunta muy puntual en la cual me record\u00f3 este tema, que no todo el mundo conoce. Como hacer que un usuario sea administrador local cuando esta logeado a la maquina, pero que deje de serlo cuando hace un logoff de la misma. Algo mas o menos complejo, si no conocemos como hacerlo, pero simple si recordamos las Group Policies Preferences<\/em><\/strong>.<\/p>\n

Lo primero que hacemos es abrir la consola Group Policy Management<\/em><\/strong>, <\/p>\n

\"www.radians.com.ar<\/a><\/p>\n

Seleccionamos la OU a la cual le vamos a aplicar nuestra pol\u00edtica, en nuestro caso es la llamada \u201cDevelopers<\/em><\/strong>\u201d. Hacemos un clic con el bot\u00f3n derecho sobre ella y seleccionamos \u201cCreate a GPO in this domain, and Link it here\u2026<\/strong><\/em>\u201d.<\/p>\n

\"www.radians.com.ar<\/a><\/p>\n

Luego ingresamos el nombre de nuestra politica: \u201cAdd User to Admin Group and remove when logoff<\/em><\/strong>\u201d, y luego, OK<\/em><\/strong>.<\/p>\n

\"www.radians.com.ar<\/a>\"www.radians.com.ar<\/a><\/p>\n

Hacemos un clic con el bot\u00f3n derecho sobre nuestra pol\u00edtica y seleccionamos Edit<\/em><\/strong>. Luego vamos a Computer Configuration<\/em><\/strong>, Preferences<\/em><\/strong>, Control Panel Settings<\/em><\/strong>, Local User and Groups<\/em><\/strong>.<\/p>\n

\"www.radians.com.ar<\/a><\/p>\n

Hacemos un clic con el bot\u00f3n derecho y seleccionamos New<\/em><\/strong>, y luego Local Group<\/em><\/strong>.<\/p>\n

\"www.radians.com.ar<\/a><\/p>\n

Ahora tenemos que seleccionar el grupo "Administrators (built-in)<\/em><\/strong>", debemos hacer esto incluso si hemos cambiado el nombre para ocultar el nombre de la cuenta de administrador. Tanto en la seccion \u201cGroup Name<\/em><\/strong>\u201d <\/em><\/strong>como en el area \u201cMembers<\/em><\/strong>\u201d.<\/p>\n

\"www.radians.com.ar<\/a><\/p>\n

\"www.radians.com.ar<\/a><\/p>\n

Ahora, debemos marcar los dos tildes \u201cDelete all member users<\/em><\/strong>\u201d y \u201cDelete all member groups<\/em><\/strong>\u201d. Con estas dos opciones se eliminar\u00e1n autom\u00e1ticamente los usuarios y\/o grupos que no est\u00e9n agregados expl\u00edcitamente al grupo. <\/p>\n

Advertencia:<\/font> Debemos estar seguros de que hemos agregado los grupos Domain Admins<\/em><\/strong> y Local Administrator<\/em><\/strong> para que no nos bloquee a nosotros mismos. Para hacer esto, hacemos lo siguiente hacemos clic en Add<\/em><\/strong> y presionamos la tecla F3<\/em><\/strong> y podremos seleccionar la variable de entorno que queramos, en nuestro ejemplo seria %DomainName%\\Domain Admins. <\/em><\/strong>En mi ejemplo, tambi\u00e9n agregue mi cuenta de dominio.<\/p>\n

Deber\u00eda quedar en algo similar a lo siguiente:<\/p>\n

\"www.radians.com.ar<\/a><\/p>\n

Ahora, lo que deseamos es otorgar a un solo usuario o a un grupo de usuarios dentro del grupo de administradores locales en el equipo, pero a\u00fan garantizar que ninguno podr\u00e1 agregar de forma expl\u00edcita y sin su aprobaci\u00f3n. <\/p>\n

Entonces, el nombre del equipo es DSKDEV01 y el nombre de dominio es RADIANS, queremos a\u00f1adir el grupo "radians\\DSKDEV01 Administrators" al grupo de administradores local, pero tambi\u00e9n queremos que ocurra lo mismo en DSKDEV02, DSKDEV03 y as\u00ed sucesivamente. Para ello, creamos otro Local Group<\/em><\/strong>, y agregamos en la secci\u00f3n Members <\/em><\/strong>la entrada %DomainName% \\ %ComputerName% Administrators<\/em><\/strong>.; con esto creamos una segunda entrada.<\/p>\n

\"www.radians.com.ar<\/a>\"www.radians.com.ar<\/a><\/p>\n

Con esto se a\u00f1ade autom\u00e1ticamente un grupo de dominio llamado "dominio\\nombreDeEquipo<\/em> Administradores" al grupo de administradores locales en el equipo al que se aplica la pol\u00edtica. Sin embargo, el grupo de "radians\\DSKDEV01 Administradores" s\u00f3lo se agrega al grupo de administradores locales en el equipo DSKDEV01 si ese grupo ya existe. Por lo tanto no es necesario para crear el grupo hasta que surja la necesidad de agregar un usuario o grupo individual a un solo equipo. Una vez creado el grupo podeos agregar un solo usuario o muchos (o grupos) al grupo de dominio.<\/p>\n

Otra ventaja de tener este grupo de dominio es que seria el \u00fanico lugar donde se puede otorgar acceso de administrador en el equipo sin que se sea eliminado autom\u00e1ticamente, lo que hace mucho mas f\u00e1cil la tarea de auditar quien es o no administrador de los equipos.<\/p>\n

Con los cambios que hemos realizado en nuestra pol\u00edtica de grupo, har\u00e1 que nuestros equipos desktops tengan la siguiente configuraci\u00f3n:<\/p>\n