Windows Server: Utilización de Grupos Restringindos (“Restricted Groups”)–Parte 2 de 2

Continuando la nota anterior “Windows Server: Utilización de Grupos Restringindos (“Restricted Groups”)–Parte 1 de 2” en esta veremos la segunda opción planteada en la anterior, esto es, automatizar mediante GPO que un grupo de Dominio sea agregado a un grupo local de estaciones de trabajo

Esta opción es comunmente utilizada para lograr que un grupo de soporte de estaciones de trabajo, sea administrador local de las mismas, pero sin quitar las cuentas ya incluidas

La infraestructura utilizada es la misma de todas las notas del blog:

  • DC1.ad.guillermod.com.ar (Controlador de Dominio)
  • CL1.ad.guillermod.com.ar (Estación de trabajo en el Dominio)

Al igual que para la nota anterior y como la configuración se hace mediante GPO, he creado una Unidad Organizativa donde he colocado la cuenta de la máquina CL1

RG2-01

Como podemos observar, ya hay varias cuentas de usuario, tanto locales como de dominio incluidas en el grupo local “Administrators” de CL1, el objetivo es agregar un grupo de Dominio que yo he llamado “AdminsDsk”

RG2-02

Análogamente al caso anterior, he creado el correspondiente grupo, en el que incluido una cuenta de usuario llamada “Administrador Desktops”

RG2-03

Ahora crearemos una GPO enlazada a la Unidad Organizativa “Desktops” donde haremos la configuración necesaria

RG2-04

RG2-05

RG2-06

Debemos abrir la misma opción que en la nota anterior: “Computer Configuration / Policies / Windows Settings / Security Settings / Restricted Groups” y seleccionar “Add group …”

RG2-07

Para utilizar la opción no restrictiva, que es el objetivo de esta nota, ahora sí, debemos utilizar el botón “Browse” para seleccionar al grupo de Dominio que deseamos sea parte del grupo local

RG2-08

RG2-09

Y debemos seleccionar el botón “Add …” de la sección “This group is a member of”

RG2-10

Y para que sea el grupo local “Administrators”, y no el grupo del Dominio, ahora sin pulsar “Browse” escribimos el nombre del grupo

RG2-11

Quedará así

RG2-12

Al ser la opción no restrictiva, no debemos preocuparnos por las otras cuentas incluidas en el grupo como en la nota anterior

Para no demorar, en CL1 fuerzo la aplicación de la GPO

RG2-13

Y como podemos observar, se ha cumplido el objetivo, ya que se ha incluido al nuevo grupo “AD\AdminsDsk”, sin quitar otras cuentas previamente presentes en el grupo

RG2-14

 

Con esto doy por finalizada esta serie de dos notas, mostrando posibles usos de Grupos Restringidos (“Restricted Groups”), no sólo viendo posibles usos sino con los detalles que hay que tener cuidado para no confundir y provocar configuraciones no deseadas

 

Post a comment or leave a trackback: Trackback URL.

Comentarios

  • federicodeluca  On 10/12/2015 at 17:22

    Muy buen post, bien detallado y muy útil.
    Guillermo, usualmente cuando realizo estas configuraciones las hago utilizando GPO pero desde “Configuración de equipo\Preferencias\Usuarios y grupos locales” y allí “Actualizando” el grupo “Administradores (integrados)” y de ser neceario “Elim. todos los usuarios miembros” / “Elim. todos los grupos miembros”.
    ¿Qué ventajas le vez al método que detallás sobre este?

    Gracias desde ya!

    • Guillermo Delprato  On 10/12/2015 at 19:00

      Hay una diferencia fundamental entre una “True Policy” (las de siempre), y las Preferencias
      – Lo configurado a través de una “True Policy”, no puede alterarse
      – Lo configurado con Preferencias, puede ser cambiado. Si la Preferencia tiene configurado que la aplique cada vez, le terminas ganando “por cansancio”, pero se puede modificar teniendo privilegios
      No sé si soy claro
      Hay varias diferencias entre “True Policy” y Preferencias, inclusive en comportamiento, dejo un enlace: GP Policy vs. Preference vs. GP preferences | Group Policy Team Blog
      https://blogs.technet.microsoft.com/grouppolicy/2008/03/04/gp-policy-vs-preference-vs-gp-preferences/

  • Federico De Luca  On 31/05/2016 at 15:13

    Guillermo, espero te encuentres bien.
    Te molesto nuevamente por una consulta;
    ¿Qué pasa si el OS cliente tiene distinto idioma que el servidor (por ejemplo servidor en inglés y OS cliente en español)?
    ¿El sistema se da cuenta que si el grupo que escribo es “Administrators” me refiero al grupo “Administradores” del equipo, o habría que configurar para ambos casos?

    • Guillermo Delprato  On 31/05/2016 at 15:41

      Hola Federico, tiempo sin noticias :)
      Pese a que Microsoft ha asegurado que estaba prácticamente el sistema operativo del lenguaje, no es completo
      No sé si con alguna de las últimas versiones lo han arreglado, pero no era así, había que poner el nombre real del grupo

      • federicodeluca  On 31/05/2016 at 15:45

        ¿Se podría entonces añadir a la política los 2 grupos (Administradores y Administrators) con los usuarios correspondientes?

      • Guillermo Delprato  On 31/05/2016 at 15:48

        Entiendo que sí, por lo que he configurado alguna vez, si no existe el grupo no da error

      • federicodeluca  On 31/05/2016 at 15:55

        Bárbaro Guillermo. Muchas gracias por tu tiempo!

Trackbacks

Este espacio es para comentarios sobre la nota. No es un sitio de soporte

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: