Remote Desktop: Permitir a Usuarios Normales Utilizar las Heramientas Administrativas en Controlador de Dominio

En la nota anterior vimos cómo configurar un Controlador de Dominio para permitir que un usuario normal pueda conectarse por Remote Desktop (Escritorio Remoto) en modo administración

Pero hemos visto que con la configuración hecha, no alcanza para que pueda ejecutar las herramientas administrativas

En esta nota veremos la configuración adicional, para que pueda utilizarlas, aunque por supuesto si no se ha delegado ninguna tarea administrativa no podrá modificar nada. Pero que sólo pueda ver toda la información del Dominio ya es un riesgo importante de seguridad. En la tercera y última nota de la serie veremos cómo podemos limitar qué consolas y aplicaciones podrá utilizar

Hay una configuración adicional que debemos ejecutar en la “Default Domain Controllers Policy” ya que para poder utilizar las herramientas administrativas además de lo necesario para ingresar por Remote Desktop (Escritorio Remoto), el usuario debe tener el derecho de inciar sesión en modo interactivo. Como si fuera desde teclado local, aunque en este caso lo haga a través de Remote Resktop

Así que editamos nuevamente la “Default Domain Controllers Policy”, y le asignaremos al grupo, que ya habíamos creado en la nota anterior, Soportes, el derecho “Allow Logon Locally”

Actualizamos la aplicación de la GPO

Y volvemos a CL1, inciando la sesión con el usuario “Soporte Uno” (S1), y nuevamente nos conectamos al Controlador de Dominio (DC1), que como habíamos ya configurado en la primera parte, sabemos que funciona

Cuando vamos a ejecutar Server Manager nos pedirá las credenciales (UAC)

Y podremos observar que ahora sí, ya tenemos acceso a la aplicación

Además, podrá acceder a todas las herramientas administrativas

 

Esto, como comentábamos antes, puede ser un problema de seguridad, porque aunque no tiene privilegios para modificar nada, podrá ver información que no nos conviene que un usuario normal pueda ver

Bueno, pero para algo le queremos dar acceso por Remote Desktop a un Controlador de Dominio. Vamos a suponer un caso que desarrollaré en la próxima nota: es una persona de confianza y quiero darle acceso de sólo lectura al Event Viewer (Visor de Sucesos) para que me informe si observa errores o advertencias peligrosas

Esta parte, limitar las consolas y herramientas que puede usar lo dejaremos para la tercera y última de esta serie de notas

 

 

Post a comment or leave a trackback: Trackback URL.

Comentarios

  • buenos dias guillermo, gracias por tocar este tema! quería preguntarte también si puedes recomendar algún libro acerca de windows server que conozcas donde se explican los temas muy básicos para principiantes en windows server, y que esté en español..desde ya muchas gracias

    • Guillermo Delprato  On 27/10/2014 at 08:58

      Hola Víctor, lamentablemente no puedo recomendar libros porque no lo conozco. El tema es que al ser instructor certificado de Microsoft (MCT) accedo a los materiales de los cursos oficiales inclusive antes de su versión definitiva, entonces no utilizo libros, salvo algún caso muy puntual
      En algún momento utilicé los de Microsoft Press hace años, pero son sólo en inglés, y la mayoría de los que vi eran bastante buenos, aunque con alguna excepción

  • Desiderio Carrasco  On 16/01/2017 at 18:55

    y si son varios controladores de dominios, y grupos de usuarios distintos para controlador de dominio

    • Guillermo Delprato  On 16/01/2017 at 19:17

      Hola Desiderio, no tendría mucho sentido esa configuración, ya que al replicarse la información de AD, el cambio que se haga en uno, se replicará en el o los otros
      Menos aún, si fueran aplicaciones propias del servidor, ya que podrían comprometer todo el Dominio

Trackbacks

Este espacio es para comentarios sobre la nota. No es un sitio de soporte

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: