Puedes usar GPO (Política de grupo) para agregar Usuarios y grupos de Active Directory al local Administradores grupo en servidores y estaciones de trabajo unidos a un dominio. Esto le permite otorgar privilegios de administrador local en computadoras de dominio al personal de soporte técnico, al equipo de HelpDesk, a usuarios específicos u otras cuentas privilegiadas. En este artículo, mostraremos cómo administrar miembros del grupo de administradores local en equipos de dominio mediante GPO.
Grupo de administradores locales en el dominio de Active Directory
Cuando une una computadora a un dominio de AD, el Administradores de dominio el grupo se agrega automáticamente al local Administradores grupo, y el Usuario de dominio el grupo se agrega al local Usuarios grupo.
La forma más fácil de otorgar privilegios de administrador local en una computadora es agregar un usuario o grupo al grupo de seguridad local Administradores utilizando la Usuarios locales y grupos complementolusrmgr.msc
). Sin embargo, este método no es conveniente si hay muchas computadoras y, en algún momento, las personas no deseadas pueden permanecer como miembros del grupo privilegiado. Si está utilizando este método para otorgar privilegios locales, no es conveniente controlar a los miembros del grupo de administradores locales en cada equipo del dominio.
Microsoft recomienda utilizar los siguientes grupos para separar los privilegios administrativos en un dominio de AD:
- Administradores de dominio se utilizan solo en controladores de dominio;
Desde el punto de vista de la seguridad para las cuentas de administrador con privilegios, no se recomienda realizar tareas de administración diarias en estaciones de trabajo y servidores con una cuenta con privilegios de administrador de dominio. Estas cuentas deben usarse solo para la administración de AD (agregar nuevos controladores de dominio, administrar la replicación, modificar el esquema de Active Directory, etc.). La mayoría de las tareas de administración de usuarios, computadoras o GPO deben delegarse a cuentas de administrador normales (sin permisos de administrador de dominio). No utilice cuentas de administrador de dominio para iniciar sesión en estaciones de trabajo o servidores que no sean controladores de dominio.
- Administradores de servidor es un grupo que permite administrar los servidores miembros del dominio. No debe ser miembro del grupo de administradores de dominio o del grupo de administradores locales en sus estaciones de trabajo;
- Administradores de estaciones de trabajo es un grupo para realizar tareas administrativas en estaciones de trabajo únicamente. No debe ser miembro de los grupos de administradores de dominio y administradores de servidor;
- Usuarios de dominio son cuentas de usuario comunes para realizar operaciones de oficina típicas. No deben tener privilegios de administrador en servidores o estaciones de trabajo.
Supongamos que desea otorgar privilegios de administrador local en las computadoras de la unidad organizativa específica al grupo de empleados de soporte técnico y HelpDesk. Cree un nuevo grupo de seguridad en su dominio usando PowerShell y agréguele las cuentas de soporte técnico:
New-ADGroup munWKSAdmins -path 'OU=Groups,OU=Munich,OU=DE,DC=woshub,DC=com' -GroupScope Global –PassThru
Add-AdGroupMember -Identity munWKSAdmins -Members amuller, dbecker, kfisher
Abra la consola de administración de políticas de grupo del dominio (GPMC.msc
), cree una nueva política (GPO) AddLocaAdmins y vincularlo a la OU que contiene las computadoras (en mi ejemplo, es ‘OU = Computers, OU = Munich, OU = DE, DC = woshub, DC = com’).
La directiva de grupo de AD proporciona dos métodos para administrar grupos locales en equipos de dominio. Estudiémoslos a su vez:
- Gestión de grupos locales mediante Preferencias de políticas de grupo;
- Grupos restringidos.
¿Cómo agregar usuarios de dominio a los administradores locales a través de las preferencias de GPO?
Las preferencias de directiva de grupo (GPP) proporcionan la forma más flexible y conveniente de otorgar privilegios de administrador local en equipos de dominio a través de un GPO.
- Abre el AddLocaAdmins GPO que creó anteriormente en el Editar modo;
- Vaya a la siguiente sección de GPO: Configuración de la computadora -> Preferencias -> Configuración del panel de control -> Usuarios y grupos locales;
- Agregar una nueva regla (Nuevo -> Grupo local);
- Seleccione Actualizar en el campo Acción (¡es una opción importante!);
- En la lista desplegable Nombre del grupo, seleccione Administradores (integrados). Incluso si se ha cambiado el nombre de este grupo en la computadora, la configuración se aplicará al grupo de administradores local por su SID:
S-1-5-32-544
; - Haga clic en el Agregar y seleccione los grupos que desea agregar al grupo de administradores locales (en nuestro caso, es munWKSAdmins);Si desea eliminar usuarios y grupos agregados manualmente del grupo de administradores local actual, marque la casilla «Eliminar todos los usuarios miembros» y «Eliminar todos los grupos de miembros”Opciones. En la mayoría de los casos, es razonable ya que garantiza que solo los grupos de dominio asignados tendrán permisos de administrador en las computadoras de su dominio. Luego, si agrega un usuario al grupo de administradores manualmente mediante el complemento «Usuarios y grupos locales», se eliminará automáticamente la próxima vez que se aplique la política.
- Guarde la política y espere hasta que se aplique en la estación de trabajo. Para aplicar la política de inmediato, ejecute este comando
gpupdate /force
en una computadora de usuario; - Abre el
lusrmgr.msc
complemento en cualquier computadora y verifique los miembros del grupo de administradores locales. Solo el munWKSAdmins grupo se agregará a este grupo, mientras que otros usuarios y grupos se eliminarán. Puede mostrar la lista de administradores locales usando el comando:net localgroup Administrators
Puede configurar condiciones adicionales (granulares) para dirigir la política en los equipos específicos utilizando los filtros WMI de GPO o Orientación a nivel de artículo.
En el segundo caso, vaya a la Común pestaña y verifique la Orientación a nivel de artículo. Hacer clic Orientación. Aquí puede especificar las condiciones en las que se aplicará la política. Por ejemplo, quiero que la política de agregar grupos de administradores se aplique solo a computadoras con Windows 10, que los nombres NetBIOS / DNS no contienen adm
. Puede utilizar sus propias opciones de filtrado.
No se recomienda agregar cuentas de usuario individuales a esta política. Es mejor utilizar los grupos de seguridad del dominio. En este caso, para otorgar privilegios de administrador a otro empleado de soporte técnico, basta con agregarlo al grupo de dominio (no necesitará editar el GPO).
Gestión de grupos de administradores locales mediante grupos restringidos
La Grupos restringidos La política también permite agregar grupos de dominio / usuarios al grupo de seguridad local en las computadoras. Es un método más antiguo para otorgar privilegios de administrador local y ahora se usa con menos frecuencia (es menos flexible que el método de preferencias de directiva de grupo).
- Abra un GPO en el modo de edición;
- Expande la sección Configuración de la computadora -> Políticas -> Configuración de seguridad -> Grupos restringidos;
- Seleccione Añadir grupo en el menú contextual;
- En la siguiente ventana, escriba Administradores y luego haga clic en Aceptar;
- Hacer clic Agregar en el Miembros de este grupo sección y especifique el grupo que desea agregar a los administradores locales;
- Guarde los cambios, aplique la política a las computadoras de los usuarios y verifique la Administradores grupo. Debe contener solo el grupo que ha especificado en la política.
Esta política siempre (!) elimina todos los demás miembros del grupo de administradores locales (agregados manualmente o utilizando otras políticas o scripts). Si varias políticas con la configuración de Grupos restringidos están activas para una computadora, solo se aplica la última. Puede evitar esta limitación agregando primero el munWKSAdmins grupo al Grupo restringido y luego agregar este grupo al grupo Administradores.
Uso de GPO para agregar un único usuario al grupo de administradores local en una computadora específica
A veces, es posible que deba otorgar a un solo usuario los privilegios de administrador en la computadora específica. Por ejemplo, tiene varios desarrolladores que necesitan privilegios elevados de vez en cuando para probar controladores, depurarlos o instalarlos en sus computadoras. No es recomendable agregarlos al grupo de administradores de estaciones de trabajo en todas las computadoras.
Para otorgar privilegios de administrador local en la computadora específica, puede usar el siguiente esquema:
Justo en la sección de preferencias de GPO (Configuración del equipo -> Preferencias -> Configuración del panel de control -> Usuarios y grupos locales) de AddLocalAdmins La política creada anteriormente crea una nueva entrada para el grupo Administradores con la siguiente configuración:
- Acción:
Update
- Nombre del grupo:
Administrators (Built-in)
- Descripción: «
Add amuller to the local administrators on the mun-dev-wsk21 computer
« - Miembros: Agregar ->
amuller
- En el Común -> Orientación pestaña, especifique esta regla: «
the NETBIOS computer name is mun—dev-wks24.
”Significa que esta política se aplicará solo a la computadora especificada aquí.
Además, preste atención al orden en el que se aplican los grupos en la computadora (el Order
Columna GPP). La configuración del grupo local se aplica de arriba a abajo (empezando por el Order 1
política).
La primera política GPP (con la configuración «Eliminar todos los usuarios miembros» y «Eliminar todos los grupos miembros» como se describe anteriormente) elimina todos los usuarios / grupos de los grupos de administradores locales y agrega el grupo de dominio especificado. Luego, se aplican las políticas adicionales específicas de la computadora que agregan al usuario especificado a los administradores locales. Si desea cambiar el orden de membresía en su grupo de administradores, use los botones en la parte superior de la consola del Editor de GPO.
Artículos Interesantes
Contenido