Windows Server: Utilización de Grupos Restringindos (“Restricted Groups”)–Parte 1 de 2

La utilización de Grupos Restringidos es una solución muy buena cuando hay que controlar la membresía en grupos, ya sea para restringir los miembros de un grupo, como para automatizar la inclusión de cuentas en determinados grupos

Un ejemplo clásico de esto último es cuando se desea que un grupo de soporte de usuarios se incluya en el grupo administradores locales de todas las estaciones de trabajo

Por otra parte, y para dar un ejemplo del primer caso, es cuando por una falta de planificación previa se quieren controlar las cuentas que tendrán privilegios administrativos sobre servidores, quitando las cuentas no apropiadas

Todo esto se puede hacer automáticamente mediante GPOs con Grupos Restringidos

En esta primera nota veremos justamente cómo podemos controlar y limpiar si fuera necesario la membresía de grupos en un ambiente de servidores, aunque sería análogo para máquinas cliente

Y aprovecharé para mostrar algunos detalles muy importantes que a veces provocan confusiones y efectos no deseados

La infraestructura utilizada para la demostración es la misma utilizada en todas las notas del blog:

  • DC1.ad.guillermod.com.ar (Controlador de Dominio)
  • SRV1.ad.guillermod.com.ar (Servidor miembro del Dominio)

Como la configuración se hace mediante GPO, he creado una Unidad Organizativa donde he colocado la cuenta de SRV1

RG1-01

Si observamos la membresía en el grupo local “Administrators” veremos que hay varias cuentas. El objetivo es que además de la cuenta predefinida “Administrator” estén incluidas solamente “AD\Domain Admins” y un grupo específico que yo he llamado “AdminsSrvs”

RG1-02

Como pueden observar en la siguiente captura he creado un usuario llamado “Administrador Servidores” que he incluido en el grupo “AdminsSrvs” (El otro usuario y grupo lo utilizaré en la nota siguiente)

RG1-03

Debemos comenzar creando una GPO enlazada a la Unidad Organizativa “Servers” que yo he llamado “Administradores Servidores”

RG1-04

RG1-05

Y la editamos

RG1-06

Debemos abrir “Computer Configuration / Policies / Windows Settings / Security Settings / Restricted Groups” y con botón derecho seleccionar “Add group …”

RG1-07

Este es el primer punto donde debemos tener cuidado, ya que se debe escribir el nombre del grupo al cual controlaremos la membresía, sin utilizar el botón “Browse”. Esto es así porque queremos que se aplique sobre el grupo local “Administrators”, y si utilizáramos el botón en cambio, se seleccionaría el grupo de Dominio “Administrators”, así que cuidado con esto

RG1-08

Y ahora hay un segundo lugar donde debemos tener cuidado y elegir la opción adecuada, vamos a explicarla en más detalle

  • “Members of this group”: es una opción restrictiva, esto implica que en el grupo seleccionado “Administrators” se incluirán únicamente los grupos que señalemos acá, y quitará cualquier otra cuenta. La única excepción es la cuenta predefinida de administrador local de las máquinas
  • “This group is a member of”: a diferencia del anterior, no es restrictiva, y lo que hará es agregar nuevas cuentas al grupo, dejando las que ya estuvieran presentes

Como el ejemplo que me he planteado para esta primera nota es restringir qué cuentas serán administradores locales de los servidores y quitar cualquier otra, seleccionaré “Members of this group” y su correspondiente botón “Add”

RG1-09

Ahora sí, debo utilizar el botón “Browse” para poder seleccionar el grupo de Dominio creado al efecto

RG1-10

RG1-11

Pero debemos tener en cuenta que como mencioné antes la opción es restrictiva y quitará cualquier otra cuenta, deberé entonces incluir al grupo “Domain Admins” ya que de otra forma quitaría al grupo, por lo tanto debemos repetir el proceso para agregar al grupo

RG1-12

RG1-13

Quedará finalmente así

RG1-14

Para acelerar la aplicación, en SRV1 fuerzo la aplicación de la GPO

RG1-15

Y como podemos observar, se han quitado todas las cuentas, quedando solamente las tres cuentas que nos habíamos planteado como objetivo

RG1-16

 

En la siguiente nota veremos cómo usando un proceso similar, podemos agregar cuentas a un grupo, pero sin quitar las existentes previamente “Windows Server: Utilización de Grupos Restringindos (“Restricted Groups”)–Parte 2 de 2

 

Publica un comentario o deja una referencia: URL de la referencia.

Comentarios

  • jesusalex1s  El 24/05/2018 a las 18:34

    tengo servidores fisicos que estan en español y cuento con servidores en AWS que estan en ingles, si hago el proceso en mis servidores en español se ejecutara la GPO?

    lo siento..hice mal la pregunta..
    tengo servidores fisicos que estan en español y cuento con servidores en AWS que estan en ingles, si hago el proceso en mis servidores en español se ejecutara tambien la GPO con los servidores en ingles?(todos WS2012R2)

    • Guillermo Delprato  El 24/05/2018 a las 18:54

      Hola jesusalex1s, unifiqué las dos partes :)
      La GPO se va a apliacar, pero por experiencia que he escuchado, no va a funcionar si no coinciden exactamente los nombres de los grupos, esto es, “Administradores” es diferente a “Administrators” y vale para todos lo nombres de grupos

  • Ricard  El 21/03/2019 a las 02:54

    Hola Guillermo, ante todo agradezco tus múltiples aportaciones, para mi eres un referente fiable en el mundo Microsoft. Tengo un caso curioso con restricción de usuarios, al aplicarlo al primero que se lo hice (cree una OU temporal y lo puse ahí) me funcionó perfectamente, los users con derecho admin dejaron de tener dicho derecho y consecuentemente cambiar fecha/hora/zona horaria quedó deshabilitada, perfecto. Ahora bien, al aplicar esta GPO en la OU de 50 equipos parece la aplica bien y los users dejan de ser admins pero que curioso, les permite cambiar zona horaria/fecha, si compruebo las GPO (gpresult) como no son admins sólo veo de usuario y es correcto, abro sesión admin y veo que la GPO se aplica en el equipo, reviso las GPO’s que se aplican una a una y ninguna hace referencia a fecha/hora/zona con lo que no entiendo el porqué, ¿alguna luz al respecto? ¿podría ser una directiva Local que sobrepone las globales?

    • Guillermo Delprato  El 21/03/2019 a las 08:27

      Hola Ricard, gracias por tu comentario
      Primero verifica en una sesión de usuario a qué grupos pertenee con WHOAMI /GROUPS
      Segundo, recuera que el cliente sincroniza automáticamente la hora con el Controlador de Dominio que lo autentica, así que un cambio no necesariamente fue hecha por un usuario
      Tercero, aunque muestre que pueda cambiar la hora, pon una cualquiera, y pulsa el botón Ok, porque a veces parece que permite, pero luego no deja
      Cuarto, en Commputer configuration / Windows settings / Security settings / User rights asignment hay un derecho que justamente permite cambiar fecha y hora

Trackbacks

Este espacio es para comentarios sobre la nota. No es un sitio de soporte

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Salir /  Cambiar )

Google photo

Estás comentando usando tu cuenta de Google. Salir /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Salir /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Salir /  Cambiar )

Conectando a %s

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios .

A %d blogueros les gusta esto: