Remote Desktop: Permitir a Usuarios Normales Utilizar las Heramientas Administrativas en Controlador de Dominio

En la nota anterior vimos cómo configurar un Controlador de Dominio para permitir que un usuario normal pueda conectarse por Remote Desktop (Escritorio Remoto) en modo administración

Pero hemos visto que con la configuración hecha, no alcanza para que pueda ejecutar las herramientas administrativas

En esta nota veremos la configuración adicional, para que pueda utilizarlas, aunque por supuesto si no se ha delegado ninguna tarea administrativa no podrá modificar nada. Pero que sólo pueda ver toda la información del Dominio ya es un riesgo importante de seguridad. En la tercera y última nota de la serie veremos cómo podemos limitar qué consolas y aplicaciones podrá utilizar

Hay una configuración adicional que debemos ejecutar en la “Default Domain Controllers Policy” ya que para poder utilizar las herramientas administrativas además de lo necesario para ingresar por Remote Desktop (Escritorio Remoto), el usuario debe tener el derecho de inciar sesión en modo interactivo. Como si fuera desde teclado local, aunque en este caso lo haga a través de Remote Resktop

Así que editamos nuevamente la “Default Domain Controllers Policy”, y le asignaremos al grupo, que ya habíamos creado en la nota anterior, Soportes, el derecho “Allow Logon Locally”

Actualizamos la aplicación de la GPO

Y volvemos a CL1, inciando la sesión con el usuario “Soporte Uno” (S1), y nuevamente nos conectamos al Controlador de Dominio (DC1), que como habíamos ya configurado en la primera parte, sabemos que funciona

Cuando vamos a ejecutar Server Manager nos pedirá las credenciales (UAC)

Y podremos observar que ahora sí, ya tenemos acceso a la aplicación

Además, podrá acceder a todas las herramientas administrativas

 

Esto, como comentábamos antes, puede ser un problema de seguridad, porque aunque no tiene privilegios para modificar nada, podrá ver información que no nos conviene que un usuario normal pueda ver

Bueno, pero para algo le queremos dar acceso por Remote Desktop a un Controlador de Dominio. Vamos a suponer un caso que desarrollaré en la próxima nota: es una persona de confianza y quiero darle acceso de sólo lectura al Event Viewer (Visor de Sucesos) para que me informe si observa errores o advertencias peligrosas

Esta parte, limitar las consolas y herramientas que puede usar lo dejaremos para la tercera y última de esta serie de notas

 

 

Publica un comentario o deja una referencia: URL de la referencia.

Comentarios

  • Víctor Amarilla (@Victorlein)  El 27/10/2014 a las 04:56

    buenos dias guillermo, gracias por tocar este tema! quería preguntarte también si puedes recomendar algún libro acerca de windows server que conozcas donde se explican los temas muy básicos para principiantes en windows server, y que esté en español..desde ya muchas gracias

    • Guillermo Delprato  El 27/10/2014 a las 08:58

      Hola Víctor, lamentablemente no puedo recomendar libros porque no lo conozco. El tema es que al ser instructor certificado de Microsoft (MCT) accedo a los materiales de los cursos oficiales inclusive antes de su versión definitiva, entonces no utilizo libros, salvo algún caso muy puntual
      En algún momento utilicé los de Microsoft Press hace años, pero son sólo en inglés, y la mayoría de los que vi eran bastante buenos, aunque con alguna excepción

  • Desiderio Carrasco  El 16/01/2017 a las 18:55

    y si son varios controladores de dominios, y grupos de usuarios distintos para controlador de dominio

    • Guillermo Delprato  El 16/01/2017 a las 19:17

      Hola Desiderio, no tendría mucho sentido esa configuración, ya que al replicarse la información de AD, el cambio que se haga en uno, se replicará en el o los otros
      Menos aún, si fueran aplicaciones propias del servidor, ya que podrían comprometer todo el Dominio

  • antuan garcia  El 04/10/2019 a las 14:01

    Buenas tardes.

    quisiera saber como solucionar el error

    La contraseña se debe de cambiar para inicar sesion por primera vez. actualicela o pongase en contacto con el administrador.

    cabe mencionar que eso me sucede con usuarios de dominio, no se si es una configuracion adicional a mis servidor; por lo regular mis clientes son desde windows 10.

    gracias

    • Guillermo Delprato  El 04/10/2019 a las 18:13

      Eso es una configuración en la cuenta de usuario del Dominio.
      Estos son comentarios sobre la nota, no son ni para soporte ni para consultoría. Gracias

Trackbacks

Este espacio es para comentarios sobre la nota. No es un sitio de soporte

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Salir /  Cambiar )

Google photo

Estás comentando usando tu cuenta de Google. Salir /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Salir /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Salir /  Cambiar )

Conectando a %s

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios .

A %d blogueros les gusta esto: