Configurar administradores locales desde Active Directory

Translate

Si acabas de llegar a una empresa donde la informática está descuidada, seguramente la mayoría de gente sean administradores locales de sus maquinas. Esto puede que esté hecho a conciencia, ya que el responsable de turno piensa “si ellos mismo se instalan las cosas no tendré que trabajar tantoERROR, ya que si les das esa libertad estarás día si y día también eliminando virus y malware de sus ordenadores.

Moraleja, nunca le des control a un usuario, a menos que este usuario tenga el poder de despedirte…
Lo primero de todo es tener a todas las maquinas cliente dentro de una misma OU del AD o si no, tenerlas localizadas para aplicarle la GPO a todas las OU’s que queramos.
Captura_1
Ahora vamos a la consola de Administración de directivas de grupo, una vez dentro creamos una nueva política desde la OU donde tenemos los ordenadores y le asignamos un nombre a la política, en nuestro caso “Directiva Admin PC“.
Captura_2
Captura_3
Veremos que en la parte derecha se nos ha creado la política, pulsamos sobre ella con el botón derecho y marcamos Editar.
 
Captura_4
Se nos abrirá la ventana donde editaremos la política. nos dirigimos a Configuración del equipo / Directivas / Configuración de Windows / Configuración de seguridad / Grupos restringidos. Pulsamos sobre la parte derecha y “Agregar grupo“.
Captura_5
El nombre de grupo a de ser el de “Administradores” el cual es idéntico al que usan los ordenadores de manera local, en caso de usar maquinas con diferentes idiomas deberéis añadir tantos como corresponda.
Captura_6
Ahora añadiremos en miembros al grupo “Admins. del dominio”, de esta manera solo quedará este grupo como administrador local en todos los ordenadores.
Podemos añadir tantos usuarios como nos plazca, teniendo en cuenta que serán administradores locales de todas las máquinas que tengan esta política aplicada.
Captura_7
Captura_8
De manera que la configuración quedará así.
Captura_9
Para finalizar, podéis forzar la política para que desde este instante sea efectiva con el comando “gpudate /force”.

Captura_10




Espero que os haya servido, si tenéis alguna duda comentar el post y haré lo posible para ayudaros.

27 comentarios en “Configurar administradores locales desde Active Directory

  1. Heriberto

    Buen día, muy funcional tu información, tengo una duda, si yo tengo a todos mis usuarios como “usuarios” sin permisos valga la redundancia, pero yo lo que necesito es que al agregar cada equipo a mi dominio tengan el mismo “administrador local” sería el mismo procedimiento?

    por darte un ejemplo me toco ver que tú al ingresar un equipo a dominio en automático se dehabilitaba el administrador local (sea cual fuese el nombre de usuario) y ya por default tu administrador “local” era el mismo para todos los equipos (incluido el password) {es más tú al poner el nombre de usuario, en automático cambiaba a donde te ibas a loguear, cambiaba de dominio al nombre del equipo}.

    Espero haberme dado a entender.

    Espero puedas ayudarme con esta duda.

    Muchas gracias

    1. Ricard Ibáñez Autor del post

      Este procedimiento no crea usuarios ni grupos locales sobre los equipos donde aplica. Solo modifica el grupo “Administradores” para incluir o eliminar usuarios del dominio en ese grupo que ya existe en el equipo.

      Cuando tu entras un equipo en un dominio no se deshabilita ningún usuario local, pero al aplicar la GPO modifica la pertenencia tal y como tu la hayas creado. El nombre que uso es el por defecto, en mi caso los equipos están en español y todos tiene el mismo nombre.

      No se si resuelve la duda.
      Saludos.

  2. Victor Prado

    Hola, no se si lo he entendio bien, pero te planteo mi escenario.
    -Mi red con DOMINIO y varios pcs en este DOMINIO.
    -Algunos de estos pcs tienen usuarios de AD con permisos de administración local en sus equipos
    -Lo que pretendo es que por directiva todos los usuarios del AD sea cual sea el pc en el que trabajen sean usuarios (no administradores locales)
    -Yo formo parte de los administradores de dominio

    Las preguntas son:
    1-¿Con lo que has explicado yo pasaré a ser administrador local de cualquier pc del Dominio?
    2-¿Los usuarios que eran administradores locales pasaran a ser usuarios (no administradores)?
    3-En caso de que la respuesta a la pregunta 2 sea NO. ¿Cómo hago para quitarles estos permisos a todos por directiva? Pretendo que sean todos usuarios (no administradores).

    Muchas gracias.

    1. Ricard Ibáñez Autor del post

      Hola Victor, a la pregunta 1 si, tu por estar dentro del grupos Admins. del Dominio pasarás a ser administrador de cualquier equipo, piensa que esté grupo ya se establece por defecto en los equipos del dominio.
      A la pregunta 2, Si, dejarán de ser administradores y solo serán los que indiques en la GPO.

      Saludos!!

  3. Javier Añazgo

    Hola Ricard, antes que nada muchas gracias por la información, respecto a la pregunta 2. (Victor Prado), Si los usuarios dejarian de ser administradores, a que tipo de usuarios pertenecerían estos?, o tal vez puedo crear una GPO por ejemplo para que esos usuarios pertenezcan al grupo Usuarios.
    Espero haber expresado mi duda

    Muchos Saludos!

    1. Ricard Ibáñez Autor del post

      Todos los usuarios del dominio pertenecen al grupo Domain Users, y este grupo pertenece al grupo Users del equipo local. Esto permite que cualquier usuario de tu dominio pueda validarse en un equipo de ese mismo dominio.

      No se si queda resuelta la duda. Ya me dirás!!

  4. Javier Añazgo

    Una consulta mas por favor, los usuarios de mi red los he configurado como adminitradores agregando el grupo Domain User en el grupo Administradores de cada equipo(situación que me esta causando muchos problemas obvios), necesito borrar este grupo (domain user) del grupo administradores mediante una GPO, pero en el momento que voy a buscar el grupo domain user no lo puede ver, podría indicarme como podría realizar esta GPO.
    Muchas gracias nuevamente
    Saludos

    1. Ricard Ibáñez Autor del post

      No necesitas buscarlo, tan solo has de definir la GPO del post con los usuarios o grupos que si quieras, esto machacará la configuración actual de los equipos.

      Saludos.

  5. Marene

    Hola!
    Gracias por la información, es muy útil e interesante.
    En mi caso, he habilitado AD y he creado un GPO.
    Al entrar después al equipo de manera local WIN-XXXXX/administrador, me deniega el acceso, como si no pudiera administrar o acceder de manera local a la máquina.
    ¿Cómo podría solucionar el problema?
    Muchas gracias de antemano.

    1. Ricard Ibáñez Autor del post

      Para solucionar el problema en el grupo creado de la GPO has de añadir el usuario Administrador o Administrator para que lo acepte a nivel local como administrador de la máquina.

      Saludos.

  6. John Snow

    Hola. Gracias por la documentacion
    Yo tengo una duda soy nuevo en esto de la administracion de servidores pero tengo este problema:

    Tengo una red con un servidor window enterprise con varios switch cisco para configurar diferentes Vlans el problema es que tengo unos usuarios los cuales tienen permiso de administrador local en una vlan pero si me logeo con esos usuarios en otra vlan no tienen permiso de administrador. mis dudas son:

    como evito que sean administradores en todas las vlans

    Lo que no entiendo es como es posible que sean administradores locales en una vlan y en otra no.
    Agradeceria mucho si alguien sabe algo al respecto o si me pudieran pasar algun enlace o tema que estudiar gracias.

    1. Ricard Ibáñez Autor del post

      Tal y como comentas no tiene sentido, las Vlans, no interactuan con ActiveDirectory ni los usuarios, lo unico que puede pasar es que desde una Vlan no tengas acceso a los DC’s y por ello no aplica directivas de Administrador Local.
      Saludos.

  7. Juan Rodriguez

    Buena tarde gracias por el post, una consulta con alguna GPO se puede solo agregar un usuario como administrador sin quitar los grupos y usuarios ya existentes.

    De antemano gracias.
    Saludos.

  8. Monica

    Buenas tardes, por favor su ayuda con la siguiente duda:

    Tengo una imagen para los pc , donde deshabilito la cuenta administrador y creo una cuenta local con privilegios de administrador. Cuando realizo el proceso de unir el equipo al dominio, la cuenta local creada anteriormente ya no cuenta con privilegios de administrador.

    Por favor su ayuda para poder dejar esa cuenta con privilegios de administrador.

    1. Ricard Ibáñez Autor del post

      Hola,
      Deberás revisar si existe un GPO sobre los equipos que restrinja los administradores locales. De no ser así, recomiendo aplicar una para crear y mantener un usuario local como administrador del equipo mediante GPOs.

  9. Ricard

    Hola Ricard, tengo un caso curioso con restricción de usuarios, al aplicarlo al primero que se lo hice (cree una OU temporal y lo puse ahí) me funcionó perfectamente, los users con derecho admin dejaron de tener dicho derecho y consecuentemente cambiar fecha/hora/zona horaria quedó deshabilitada, perfecto. Ahora bien, al aplicar esta GPO en la OU de 50 equipos parece la aplica bien y los users dejan de ser admins pero que curioso, les permite cambiar zona horaria/fecha, si compruebo las GPO (gpresult) como no son admins sólo veo de usuario y es correcto, abro sesión admin y veo que la GPO se aplica en el equipo, reviso las GPO’s que se aplican una a una y ninguna hace referencia a fecha/hora/zona con lo que no entiendo el porqué, ¿alguna luz al respecto? ¿podría ser una directiva Local que sobrepone las globales?

    1. Ricard Ibáñez Autor del post

      Creo que lo más probable es que en las directivas de usuario, tengas alguna que por defecto les deja cambiar la hora. Lo que puedes hacer es buscar a nivel de usuario y equipo tales directivas y luego configurarlas, para que de este modo no haya dudas de lo que le aplica.

      Saludos.

  10. Paola

    Hola! Según leo en los comentarios, sigues respondiendo. Gracias por el texto y las respuestas en los comentarios, he entendido bastante de lo que me faltaba comprender con esta información… Tengo sólo una duda… Usuarios de dominio declarados como administrador local en el PC los deja fuera de las posibles GPO que pudieran implementarse en función de usuario/equipo?

    Saludos!

    1. Ricard Ibáñez Autor del post

      Hola, no quedan fuera de las GPO, las GPO se aplican a usuarios validados en el dominio, independientemente si son administradores locales o no.

      Saludos.

  11. ROMEO MAITA

    HOLA, DE ANTEMANO GRACIAS POR TU TIEMPO, EN UN SERVIDOR CON FUNCIONES DE DOMAIN CONTROLLER, SE LE PUEDE CAMBIAR LA CLAVE A SU PROPIO ADMINISTRADOR LOCAL.

Los comentarios están cerrados.