En la nota anterior vimos cómo configurar un Controlador de Dominio para permitir que un usuario normal pueda conectarse por Remote Desktop (Escritorio Remoto) en modo administración
Pero hemos visto que con la configuración hecha, no alcanza para que pueda ejecutar las herramientas administrativas
En esta nota veremos la configuración adicional, para que pueda utilizarlas, aunque por supuesto si no se ha delegado ninguna tarea administrativa no podrá modificar nada. Pero que sólo pueda ver toda la información del Dominio ya es un riesgo importante de seguridad. En la tercera y última nota de la serie veremos cómo podemos limitar qué consolas y aplicaciones podrá utilizar
Hay una configuración adicional que debemos ejecutar en la “Default Domain Controllers Policy” ya que para poder utilizar las herramientas administrativas además de lo necesario para ingresar por Remote Desktop (Escritorio Remoto), el usuario debe tener el derecho de inciar sesión en modo interactivo. Como si fuera desde teclado local, aunque en este caso lo haga a través de Remote Resktop
Así que editamos nuevamente la “Default Domain Controllers Policy”, y le asignaremos al grupo, que ya habíamos creado en la nota anterior, Soportes, el derecho “Allow Logon Locally”
Actualizamos la aplicación de la GPO
Y volvemos a CL1, inciando la sesión con el usuario “Soporte Uno” (S1), y nuevamente nos conectamos al Controlador de Dominio (DC1), que como habíamos ya configurado en la primera parte, sabemos que funciona
Cuando vamos a ejecutar Server Manager nos pedirá las credenciales (UAC)
Y podremos observar que ahora sí, ya tenemos acceso a la aplicación
Además, podrá acceder a todas las herramientas administrativas
Esto, como comentábamos antes, puede ser un problema de seguridad, porque aunque no tiene privilegios para modificar nada, podrá ver información que no nos conviene que un usuario normal pueda ver
Bueno, pero para algo le queremos dar acceso por Remote Desktop a un Controlador de Dominio. Vamos a suponer un caso que desarrollaré en la próxima nota: es una persona de confianza y quiero darle acceso de sólo lectura al Event Viewer (Visor de Sucesos) para que me informe si observa errores o advertencias peligrosas
Esta parte, limitar las consolas y herramientas que puede usar lo dejaremos para la tercera y última de esta serie de notas
WindowServer 
Comentarios
buenos dias guillermo, gracias por tocar este tema! quería preguntarte también si puedes recomendar algún libro acerca de windows server que conozcas donde se explican los temas muy básicos para principiantes en windows server, y que esté en español..desde ya muchas gracias
Hola Víctor, lamentablemente no puedo recomendar libros porque no lo conozco. El tema es que al ser instructor certificado de Microsoft (MCT) accedo a los materiales de los cursos oficiales inclusive antes de su versión definitiva, entonces no utilizo libros, salvo algún caso muy puntual
En algún momento utilicé los de Microsoft Press hace años, pero son sólo en inglés, y la mayoría de los que vi eran bastante buenos, aunque con alguna excepción
y si son varios controladores de dominios, y grupos de usuarios distintos para controlador de dominio
Hola Desiderio, no tendría mucho sentido esa configuración, ya que al replicarse la información de AD, el cambio que se haga en uno, se replicará en el o los otros
Menos aún, si fueran aplicaciones propias del servidor, ya que podrían comprometer todo el Dominio
Buenas tardes.
quisiera saber como solucionar el error
La contraseña se debe de cambiar para inicar sesion por primera vez. actualicela o pongase en contacto con el administrador.
cabe mencionar que eso me sucede con usuarios de dominio, no se si es una configuracion adicional a mis servidor; por lo regular mis clientes son desde windows 10.
gracias
Eso es una configuración en la cuenta de usuario del Dominio.
Estos son comentarios sobre la nota, no son ni para soporte ni para consultoría. Gracias
Trackbacks
[…] En las dos notas anteriores vimos cómo configurar para permitir que un usuario normal pueda acceder por Remote Desktop (Escritorio Remoto) en modo administración a un Controlador de Dominio, y además cómo permitirle utilizar las herramientas administrativas […]
[…] Qué debemos configurar para que pueda usar las herramientas administrativas […]