Windows Server: Utilización de Grupos Restringindos (“Restricted Groups”)–Parte 1 de 2

La utilización de Grupos Restringidos es una solución muy buena cuando hay que controlar la membresía en grupos, ya sea para restringir los miembros de un grupo, como para automatizar la inclusión de cuentas en determinados grupos

Un ejemplo clásico de esto último es cuando se desea que un grupo de soporte de usuarios se incluya en el grupo administradores locales de todas las estaciones de trabajo

Por otra parte, y para dar un ejemplo del primer caso, es cuando por una falta de planificación previa se quieren controlar las cuentas que tendrán privilegios administrativos sobre servidores, quitando las cuentas no apropiadas

Todo esto se puede hacer automáticamente mediante GPOs con Grupos Restringidos

En esta primera nota veremos justamente cómo podemos controlar y limpiar si fuera necesario la membresía de grupos en un ambiente de servidores, aunque sería análogo para máquinas cliente

Y aprovecharé para mostrar algunos detalles muy importantes que a veces provocan confusiones y efectos no deseados

La infraestructura utilizada para la demostración es la misma utilizada en todas las notas del blog:

  • DC1.ad.guillermod.com.ar (Controlador de Dominio)
  • SRV1.ad.guillermod.com.ar (Servidor miembro del Dominio)

Como la configuración se hace mediante GPO, he creado una Unidad Organizativa donde he colocado la cuenta de SRV1

RG1-01

Si observamos la membresía en el grupo local “Administrators” veremos que hay varias cuentas. El objetivo es que además de la cuenta predefinida “Administrator” estén incluidas solamente “AD\Domain Admins” y un grupo específico que yo he llamado “AdminsSrvs”

RG1-02

Como pueden observar en la siguiente captura he creado un usuario llamado “Administrador Servidores” que he incluido en el grupo “AdminsSrvs” (El otro usuario y grupo lo utilizaré en la nota siguiente)

RG1-03

Debemos comenzar creando una GPO enlazada a la Unidad Organizativa “Servers” que yo he llamado “Administradores Servidores”

RG1-04

RG1-05

Y la editamos

RG1-06

Debemos abrir “Computer Configuration / Policies / Windows Settings / Security Settings / Restricted Groups” y con botón derecho seleccionar “Add group …”

RG1-07

Este es el primer punto donde debemos tener cuidado, ya que se debe escribir el nombre del grupo al cual controlaremos la membresía, sin utilizar el botón “Browse”. Esto es así porque queremos que se aplique sobre el grupo local “Administrators”, y si utilizáramos el botón en cambio, se seleccionaría el grupo de Dominio “Administrators”, así que cuidado con esto

RG1-08

Y ahora hay un segundo lugar donde debemos tener cuidado y elegir la opción adecuada, vamos a explicarla en más detalle

  • “Members of this group”: es una opción restrictiva, esto implica que en el grupo seleccionado “Administrators” se incluirán únicamente los grupos que señalemos acá, y quitará cualquier otra cuenta. La única excepción es la cuenta predefinida de administrador local de las máquinas
  • “This group is a member of”: a diferencia del anterior, no es restrictiva, y lo que hará es agregar nuevas cuentas al grupo, dejando las que ya estuvieran presentes

Como el ejemplo que me he planteado para esta primera nota es restringir qué cuentas serán administradores locales de los servidores y quitar cualquier otra, seleccionaré “Members of this group” y su correspondiente botón “Add”

RG1-09

Ahora sí, debo utilizar el botón “Browse” para poder seleccionar el grupo de Dominio creado al efecto

RG1-10

RG1-11

Pero debemos tener en cuenta que como mencioné antes la opción es restrictiva y quitará cualquier otra cuenta, deberé entonces incluir al grupo “Domain Admins” ya que de otra forma quitaría al grupo, por lo tanto debemos repetir el proceso para agregar al grupo

RG1-12

RG1-13

Quedará finalmente así

RG1-14

Para acelerar la aplicación, en SRV1 fuerzo la aplicación de la GPO

RG1-15

Y como podemos observar, se han quitado todas las cuentas, quedando solamente las tres cuentas que nos habíamos planteado como objetivo

RG1-16

 

En la siguiente nota veremos cómo usando un proceso similar, podemos agregar cuentas a un grupo, pero sin quitar las existentes previamente “Windows Server: Utilización de Grupos Restringindos (“Restricted Groups”)–Parte 2 de 2

 

Post a comment or leave a trackback: Trackback URL.

Trackbacks

Este espacio es para comentarios sobre la nota. No es un sitio de soporte

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: