Habilitar y Renombrar el Administrador Local Usando Group Policies (Directivas de Grupo)

[Actualización 28-07-15] Consultar la nueva forma de hacerlo en: Administración Centralizada de los Administradores Locales – Parte 1 de 2:
https://windowserver.wordpress.com/2015/07/28/administracin-centralizada-de-los-administradores-locales-parte-1-de-2/

Una muy buena medida de seguridad en todas las últimas versiones de Windows cliente, es que la cuenta predefinida de Administrador (“Administrator”) por omisión queda deshabilitada

Pero a veces es conveniente, por diferentes motivos tenerla habilitada, pero para mitigar los riesgos podemos cambiarle el nombre a esta cuenta

Aunque es fácil hacerlo manualmente en cada máquina, si lo anterior lo debemos hacer en muchas máquinas, entonces puede ser algo tedioso. Pero lo podemos hacer en forma masiva a través de Directivas de Grupo (“Group Policies = GPO)

[Actualización 05-11-14] Como informa Nacho en los comentarios, la posibilidad de cambiar contraseñas a través de "Preferences" como hago en la nota, ha sido deshabilitada por una actualización de seguridad posterior
Por información ver:
– Microsoft Security Bulletin MS14-025 – Important : https://technet.microsoft.com/en-us/library/security/ms14-025.aspx
– MS14-025: Vulnerability in Group Policy Preferences could allow elevation of privilege: May 13, 2014 : https://support.microsoft.com/kb/2962486
Hace ya bastante tiempo hice una nota sobre cambiar contraseña de usuarios locales en forma remota, lo cual permitiría hacer la modificación de contraseña en forma remota, aunque no por GPO. Estimo que el procedimiento de esa nota aún debe ser válido, aunque no lo he probado
Ver: Cambiar la Contraseña de Usuario Local en Forma Remota | WindowServer:
https://windowserver.wordpress.com/2011/02/26/cambiar-la-contrasea-de-usuario-local-en-forma-remota/
¡Gracias Nacho!

Para esta demostración utilizaré las mismas máquinas que en todas las notas: un Controlador de Dominio (DC1.ad.guillermod.com.ar) y un cliente (CL1.ad.guillermod.com.ar)

Como podemos observar en CL1, está la configuración por omisión: la cuenta “Administrator” (lo tengo en inglés) está deshabilitada

La máquina CL1 la he puesto en una Unidad Organizativa “TestOU” para aplicarle un GPO y no afectar al resto de las máquinas y servidores del Dominio

Vamos entonces a crear y enlazar una GPO a esta Unidad Organizativa

Le asignamos a la GPO un nombre descriptivo

Y vamos a configurarla

Primero habilitaremos la cuenta de administrador, para lo cual debemos ir a “Computer Configuration / Policies / Windows Settings / Security Settings / Local Policies / Security Options” y editar “Accounts: Administrator account status”

Definimos la configuración y seleccionamos que la habilite

Con la configuración ya hecha habilitaremos la cuenta, pero por seguridad en los próximos pasos renombraremos la cuenta predefinida de administrador y le asignaremos una contraseña

Para esto debemos ingresar a “Computer Configuration / Preferences / Control Panel Settings / Local Users and Groups”, y con botón derecho elegir “New / Local User”

Desde la lista desplegable elegimos “Administrator (built in)”, le asignamos un nuevo nombre, yo he elegido “LocalAdmin”, le asignamos una contraseña segura, y en mi caso desmarqué la opción para que tenga que cambiarla en el primer inicio

El sistema me da un aviso de seguridad indicando que aunque protegida en cierta forma, esta contraseña estará en la carpeta SYSVOL

Y entiendo, que por esto último, queda con una marca amarilla de atención

Luego en CL1, para no esperar actualizamos la aplicación de la GPO con GPUPDATE /FORCE y si vamos a la administración de usuario locales podemos observar que la cuenta está habilitada y renombrada

Y por si a alguien le quedan dudas, podemos ver que esta cuenta puede inciar sesión normalmente

 

Como hemos podido ver, en ambientes donde no es crítica la seguridad en las máquinas cliente, esta puede ser una configuración conveniente

Anuncios
Post a comment or leave a trackback: Trackback URL.

Comentarios

Trackbacks

Este espacio es para comentarios sobre la nota. No es un sitio de soporte

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: