Continuando la nota anterior “Windows Server: Utilización de Grupos Restringindos (“Restricted Groups”)–Parte 1 de 2” en esta veremos la segunda opción planteada en la anterior, esto es, automatizar mediante GPO que un grupo de Dominio sea agregado a un grupo local de estaciones de trabajo
Esta opción es comunmente utilizada para lograr que un grupo de soporte de estaciones de trabajo, sea administrador local de las mismas, pero sin quitar las cuentas ya incluidas
La infraestructura utilizada es la misma de todas las notas del blog:
- DC1.ad.guillermod.com.ar (Controlador de Dominio)
- CL1.ad.guillermod.com.ar (Estación de trabajo en el Dominio)
Al igual que para la nota anterior y como la configuración se hace mediante GPO, he creado una Unidad Organizativa donde he colocado la cuenta de la máquina CL1
Como podemos observar, ya hay varias cuentas de usuario, tanto locales como de dominio incluidas en el grupo local “Administrators” de CL1, el objetivo es agregar un grupo de Dominio que yo he llamado “AdminsDsk”
Análogamente al caso anterior, he creado el correspondiente grupo, en el que incluido una cuenta de usuario llamada “Administrador Desktops”
Ahora crearemos una GPO enlazada a la Unidad Organizativa “Desktops” donde haremos la configuración necesaria
Debemos abrir la misma opción que en la nota anterior: “Computer Configuration / Policies / Windows Settings / Security Settings / Restricted Groups” y seleccionar “Add group …”
Para utilizar la opción no restrictiva, que es el objetivo de esta nota, ahora sí, debemos utilizar el botón “Browse” para seleccionar al grupo de Dominio que deseamos sea parte del grupo local
Y debemos seleccionar el botón “Add …” de la sección “This group is a member of”
Y para que sea el grupo local “Administrators”, y no el grupo del Dominio, ahora sin pulsar “Browse” escribimos el nombre del grupo
Quedará así
Al ser la opción no restrictiva, no debemos preocuparnos por las otras cuentas incluidas en el grupo como en la nota anterior
Para no demorar, en CL1 fuerzo la aplicación de la GPO
Y como podemos observar, se ha cumplido el objetivo, ya que se ha incluido al nuevo grupo “AD\AdminsDsk”, sin quitar otras cuentas previamente presentes en el grupo
Con esto doy por finalizada esta serie de dos notas, mostrando posibles usos de Grupos Restringidos («Restricted Groups»), no sólo viendo posibles usos sino con los detalles que hay que tener cuidado para no confundir y provocar configuraciones no deseadas
WindowServer 
Comentarios
Muy buen post, bien detallado y muy útil.
Guillermo, usualmente cuando realizo estas configuraciones las hago utilizando GPO pero desde «Configuración de equipo\Preferencias\Usuarios y grupos locales» y allí «Actualizando» el grupo «Administradores (integrados)» y de ser neceario «Elim. todos los usuarios miembros» / «Elim. todos los grupos miembros».
¿Qué ventajas le vez al método que detallás sobre este?
Gracias desde ya!
Hay una diferencia fundamental entre una «True Policy» (las de siempre), y las Preferencias
– Lo configurado a través de una «True Policy», no puede alterarse
– Lo configurado con Preferencias, puede ser cambiado. Si la Preferencia tiene configurado que la aplique cada vez, le terminas ganando «por cansancio», pero se puede modificar teniendo privilegios
No sé si soy claro
Hay varias diferencias entre «True Policy» y Preferencias, inclusive en comportamiento, dejo un enlace: GP Policy vs. Preference vs. GP preferences | Group Policy Team Blog
https://blogs.technet.microsoft.com/grouppolicy/2008/03/04/gp-policy-vs-preference-vs-gp-preferences/
Como el agua
Muchas gracias por la explicación!
Guillermo, espero te encuentres bien.
Te molesto nuevamente por una consulta;
¿Qué pasa si el OS cliente tiene distinto idioma que el servidor (por ejemplo servidor en inglés y OS cliente en español)?
¿El sistema se da cuenta que si el grupo que escribo es «Administrators» me refiero al grupo «Administradores» del equipo, o habría que configurar para ambos casos?
Hola Federico, tiempo sin noticias :)
Pese a que Microsoft ha asegurado que estaba prácticamente el sistema operativo del lenguaje, no es completo
No sé si con alguna de las últimas versiones lo han arreglado, pero no era así, había que poner el nombre real del grupo
¿Se podría entonces añadir a la política los 2 grupos (Administradores y Administrators) con los usuarios correspondientes?
Entiendo que sí, por lo que he configurado alguna vez, si no existe el grupo no da error
Bárbaro Guillermo. Muchas gracias por tu tiempo!
Excelente Guillermo.
Pero primero que nada quiero darte las gracias por compartir tus conocimientos tan generosamente con la comunidad IT. Realmente un ejemplo de profesional y muy probablemente de persona también.
Me han servido de guía muchos de tus artículos aunque sinceramente, este es el primero que comento.
Yendo a lo puntual: realmente hay muchas «sutilezas» que luego te complican la vida si no las conocés y esta es una de ellas.
Te saludo atte.
Gracias Raúl. Me alegro te sean útiles las notas :)
Hola buenas tardes, por favor su ayuda. Cuando voy a subir un equipo al dominio , el usuario local se elimina del grupo de adminsitradores locales
Hola, la verdad que nunca miré ese detalle, me parece raro y no tengo tiempo en este momento para verificarlo. De todas formas tener Dominio, hace que no se deban usar cuentas locales. Y si quisieras es muy fácil de solucionar ya que como administrador del dominio lo vuelves a poner
Pero si lo estás haciendo, como indica esta nota con Grupos Restringidos es otro tema, eres tú el que lo saca del grupo
Trackbacks
[…] En la siguiente nota veremos cómo usando un proceso similar, podemos agregar cuentas a un grupo, pero sin quitar las existentes previamente “Windows Server: Utilización de Grupos Restringindos (“Restricted Groups”)–Parte 2 de 2” […]
[…] Windows Server: Utilización de Grupos Restringindos (“Restricted Groups”)–Parte 2 de 2 https://windowserver.wordpress.com/2015/10/27/windows-server-utilizacin-de-grupos-restringindos-rest… […]