Implementacion de permisos Administrador Local en todo un dominio a traves de GPO
Inicialmente tenemos un problema, resulta que en un dominio de Active Directory tengo muchos Domain Admins por distintos motivos y deseamos quitar estos permisos dejando solo los necesarios. Esto afecta en las operaciones normales de cualquier empresa ya que los usuarios con estos permisos pueden ingresar a cualquier equipo y tambien servidor. A traves de la solucion que mencionaremos nos concentraremos en el acceso a diferentes equipos ya que el acceso a los Servidores se puede realizar simplemente haciendolo miembro de los Grupos por defecto que tiene Active Directory.
Entonces para las estaciones de trabajo por ejemplo si estos usuarios desean ingresar remotamente y luego hacer algun cambio de configuracion o instalacion de software mientras el usuario no sea Administrador Local no lo podra hacer y como se le quito del grupo de Domain Admins entonces tendria que añadirse a cada maquina del dominio, hasta ahi vamos bien. Ahora si tenemos muchas maquinas lo ideal es crear una GPO y luego aplicarla por OUs. Entonces decribimos los pasos para realizar los explicado a continuacion:
1. Crear un Grupo de Active Directory por ejemplo: Soporte
2. Añadir los miembros que tendran los permisos de Administradores Locales
3. Ingresar al GPMC
4. Crear nueva GPO
5. Expandir el sector de Computer Configuration-->Windows Settings-->Restricted Groups
6. Añadir Administrators y luego los miembros tienen que ser: Dominio\Domain Admins, Dominio\Soporte
7. Añadir Administradores y luego los miembros tienen que ser: Dominio\Domain Admins, Dominio\Soporte
8. Aplicamos la politica la Unidad Organizacional
Nota 1. Se añaden los Domain Admins porque caso contrario perderian estos derechos porque estamos modificando un Grupo Restringido
Nota 2. Creamos Administrators para los casos de Sistemas Operativos en Ingles y Administradores para los de idioma Español
Entonces para las estaciones de trabajo por ejemplo si estos usuarios desean ingresar remotamente y luego hacer algun cambio de configuracion o instalacion de software mientras el usuario no sea Administrador Local no lo podra hacer y como se le quito del grupo de Domain Admins entonces tendria que añadirse a cada maquina del dominio, hasta ahi vamos bien. Ahora si tenemos muchas maquinas lo ideal es crear una GPO y luego aplicarla por OUs. Entonces decribimos los pasos para realizar los explicado a continuacion:
1. Crear un Grupo de Active Directory por ejemplo: Soporte
2. Añadir los miembros que tendran los permisos de Administradores Locales
3. Ingresar al GPMC
4. Crear nueva GPO
5. Expandir el sector de Computer Configuration-->Windows Settings-->Restricted Groups
6. Añadir Administrators y luego los miembros tienen que ser: Dominio\Domain Admins, Dominio\Soporte
7. Añadir Administradores y luego los miembros tienen que ser: Dominio\Domain Admins, Dominio\Soporte
8. Aplicamos la politica la Unidad Organizacional
Nota 1. Se añaden los Domain Admins porque caso contrario perderian estos derechos porque estamos modificando un Grupo Restringido
Nota 2. Creamos Administrators para los casos de Sistemas Operativos en Ingles y Administradores para los de idioma Español
Comentarios