miércoles, 19 de agosto de 2009

El caso de los administradores locales

Es muy común que en las organizaciones se de el caso de que ciertos usuarios del dominio requieran permisos de administrador local en una o más maquinas por diversos motivos; sabemos que por defecto al ingresar un equipo al dominio, el grupo de administradores de dominio es agregado al grupo de administradores locales, y es claro que bajo ninguna circunstancia vamos a incluir a cada usuario que requiera ese nivel de permisos dentro del grupo de administradores de dominio, sin embargo una practica común es que el administrador vaya maquina por maquina e incluya a estos usuarios o a un grupo determinado en el grupo de administradores locales, sin duda esto es muy poco practico y tedioso, más aun en escenarios de 100,200, 1000, 5000 o muchas más maquinas.

En repetidas ocaciones clientes o alumnos me han preguntado que se puede hacer, o si existe algun script que nos facilite esta tarea, o que si saldra al mercado una versión de windows o una actualizacion que permita hacerlo…  realmente la solución es bastante sencilla y existe desde hace tiempo (desde Windows 2000) y esta en las políticas de grupo.

A continuación les mostrare algunas impresiones de pantalla para saber como hacerlo: 

 cg1 

Lo primero que debemos hacer es crear un grupo de seguridad en nuestro directorio activo que identifique a los administradores locales de las maquinas, para este caso el grupo es “Local Admins” y el dominio es blog.local, posteriormente incluiremos los usuarios a los cuales requerimos incluir en el grupo de administradores de las maquinas del dominio que se necesiten.

Luego en una maquina del dominio, con la consola de administración de políticas de grupo instalada (no debe ser en un controlador de dominio) y con un usuario con los permisos adecuados, creamos una política de grupo y seguimos los pasos que vemos en la figura.

                                                                                                        

                                                         Cuando vamos a agregar el grupo seleccionamos como locación el equipo local (no el directorio activo) y despues seleccionamos el grupo de administrador local de la maquina (BUILTIN\administrators)

cg2

Despues ubicamos el grupo agregado, le damos click derecho propiedades y en la opcion de miembros de este grupo seleccionamos el grupo de seguridad creado previamente.

cg3

Por último simplemente debemos vincular esta política (GPO) a la unidad organizativa a la cual pertenezcan los equipos a los que requerimos brindar el acceso, tambien la podemos aplicar si asi se requiere a todos los equipos del dominio, pero tengan encuenta que esto incluiria member servers y asi estariamos dando mas acceso del requerido a los usuarios, si desean ver los cambios rapidamente no olviden usar el comando gpupdate /force tanto en clientes como en servidor.

Por ultimo no olviden que la mejor practica a nivel de seguridad es que nunca se logee nadie con un usuario administrador en una maquina, siempre se deben utilizar usuarios restringidos y si se requiere hacer tareas de indole administrativo debemos acudir a “runas”.

6 comentarios:

Blog de "Del Gran Hispano" dijo...

Buenas Germán,

enhorabuena por el blog, una cuestión, si delegas el control a ese grupo con control total, sería administrador de la máquina??? Es análogo a que si una máquina pertenece al dominio los administradores del dominio son administradores de la máquina no???

Espero tu comentario.

Saludos.

Germán Ruiz dijo...

Saludos a la gente del Blog de "Del Gran Hispano" efectivamnete si una maquina ingresa a un dominio, por defecto los administradores del dominio pasan a ser administradores locales de esas máquinas, pero precisamente este artículo de mi Blog hace referencia a como darles acceso de administradores locales a usuarios que requieren hacer mantenimiento y soporte a las máquinas, pero sin que tengamos que nombrarlos administradores de dominio, ya que eso seria darles un poder absoluto a los mismos y una pésima práctica a nivel de seguridad.

Agustin dijo...

Hola German,

Muy interesante tu artículo. Es justo lo que quiero hacer, pero no me queda funcionando.

Yo tengo un servidor con Win2008R2 que es el controlador de dominio, y otro servidor con también con Win2008R2 donde instalaré SQL server.

Entonces, sigo todo tu procedimiento, y cuando me logueo al servidor de SQL con el usuario (que supuestamente debería ser Administrador local), veo que soy administrador (porque puedo apagar el servidor) pero cuando quiero ejecutar por ejemplo la Administración de equipos, me dice que no tengo privilegios.

Que me está faltando hacer?

Desde ya muchas gracias.

pablin262004 dijo...

hola hay alguna forma de no ser administrador local del equipo pero que los usuarios puedan trabajar normalmente bajar servicios etc porque tengo un grupo de desarrollo y no quiero darle permisos de administradores locales en los equipos o a todos se entiende
por favor me gustaria que me respondan

Germán Ruiz dijo...

Saludos Pablin262004, para lo que requieres espero hacer un post dentro de poco, donde enseñare a dar esos permisos mas puntuales sobre carpetas, archivos, llaves de registro y servicios a ciertos usuarios, sin necesidad de que tengan que ser administradores locales.

Esta muy pendiente de mi blog en los próximos dás.

Leire dijo...

Hola, buscando información del tema he encontrado tu blog, muy interesante :-)
Quería comentarte que no se ven las imagenes de este post y de muchos otros, aunque hay otras que sí.
He intentado poner en práctica lo que indicas pero creo que me pierdo algo al no ver las imagenes, porque no funciona lo que indicas.