domingo, 14 de febrero de 2010

Administrador local por GPO en windows XP

Bueno chicos, hoy vamos a explicar como hacer que un usuario del dominio sea administrador local de la maquina donde haga login, automaticamente claro esta.
La situacion es la siguiente: tenemos un cliente que tiene 40 usuarios con sus 40 equipos correspondientes, pero hay veces que por H o por B nuestros queridos usuarios necesitan iniciar sesion en otro equipo, y hay muchas aplicaciones tocapelotas que si no eres administrador local de la maquina funcionan mal, o simplemente no funcionan.
Por lo tanto tenemos 2 opciones:
  1. Ir equipo por equipo añadiendo los 40 usuarios del dominio como administradores del equipo
  2. Automatizarlo por GPO a traves de nuestro amado Active Directory.
Esta claro que si lo que quieres demostrar lo mucho que trabajas has de tirar por la opcion 1, yo prefiero no moverme de la silla y optar por la 2 xD

Una vez dicho esto, pongamonos manos a la obra.
Lo primero que tenemos que hacer, es conectarnos al servidor de nuestro dominio active directory y abrir la consola de usuarios y equipos, nos iremos a la unidad organizativa donde tengamos a nuestros usuarios y crearemos un grupo global de seguridad llamado "Local admins" (por ejemplo).



Una vez creado este grupo, le damos doble click sobre el y en la pestaña de miembros, agregamos a todos los usuarios que queremos que sean administradores locales de todas las maquinas del dominio, ojo, al aplicar esta directiva sino añadimos aqui al administrador del dominio, cuando acceda a las maquinas, este no sera administrador local.


Una vez realiado esto, nos vamos a cualquier maquina del dominio e iniciamos sesion con el administrador del dominio.
Nos bajamos el Administrador de politicas de grupo SP1 y lo instalamos. Una vez instalado en Herramientas administrativas, dentro de panel de control, nos aparecera un nuevo icono "Administracion de directivas de grupo"


Ejecutamos el administrador de directivas de grupo y nos vamos a la unidad organizativa donde tenemos agregados los equipos del dominio, una vez alli crearemos una nueva directiva de grupo, en mi caso le voy a llamar "local admins"




Editamos esta directiva y desplegamos "configuracion del equipo\configuracion de windows\configuracion de seguridad\grupos restringidos" quedaria como vemos en la siguiente imagen



le damos a boton derecho sobre grupos restringidos y seleccionamos "Agregar grupo..."


Pulsamos sobre examinar y nos aparece una nueva ventana donde pone "Seleccionar Grupos", aqui tenemos que pulsar sobre "ubicaciones"



Nos pasara a otra pantalla donde nos muestra las ubicaciones, aparecera seleccionado el nombre del dominio, tenemos que seleccionar el nombre de la maquina local desde donde estamos haciendo la "jugada", en mi caso es "VirtualXP-27465". Se nos quedara marcado en azulito, solo hay que darle a aceptar.



Nos volvera a la ventana de "seleccionar grupos", aqui tenemos que seleccionar el grupo de administradores, simplemente escribimos "Administradores" y le damos a comprobar nombres, nos deberia salir el nombre del equipo\Administradores



le damos a aceptar y nos volvera a la primera pantalla de todas, "agregar un grupo", le volvemos a dar a aceptar y nos aparecera una pantalla nueva, en la que pone "Administrador de propiedades", aqui tenemos que darle al primer "agregar" que aparece en pantalla que esta justo al lado de "Miembros de este grupo"



Nos aparece una nueva ventana en la que pone "Agregar Miembro", le damos a Examinar.



Nos volvera a aparecer una ventana en la que pone "Seleccionar usuarios o grupos", aqui tenemos que seleccionar el grupo que hemos creado anteriormente llamado "Local admins", si no os aparece, apretais en el boton que pone "tipos de objeto" y seleccionais la opcion "grupos" para que al darle a buscar os aparezca el grupo que hemos creado.



Ahora le damos a aceptar, nos volvera a la pantalla anterior, le damos a aceptar otra vez y nos volvera a la ultima pantalla que tambien le damos a aceptar.
Nos deberia quedar algo asi


Una vez realizado esto, ya lo tenemos listo, todos los usuarios que pertenecen al grupo "Local admins" son administradores locales de todas las maquinas que pertenezcan a la unidad organizativa a la que hemos aplicado la politica de grupo.
Ahora solo falta acordarnos de que cada vez que agreguemos un usuario hay que meterlo en ese grupo, sino "pasaran cosas" xD
Esto es todo por hoy!



3 comentarios:

  1. Buenas, esto se hace un vez y listo o hay que ir por cada máquina XP?

    Se puede hacer desde el Administrador de Directivas del Windows 2003 ? (NO hay GPMC en x64...)

    Gracias.

    ResponderEliminar
  2. hola te hago una pregunta en vez que sea de todo el dominio puedo hacer que sean administradores de una unidad organizativa solamente ? y que si salen de esas maquinas de esa ou ya no sean administradores locales?

    ResponderEliminar
  3. Hola, tengo una consulta. Sabes que lo hice. Me quedaron todos los valores como se muestra en el manual. Me fije en un equipo y efectivamente dentro del grupo de administradores locales estan los administradores del dominio y del GPO, pero al iniciar sesion con uno de esos usuarios e intentar instalar winrar o klite o ... sale el mensaje que el usuario no tiene permisos de administrador.
    Como puedo solucionarlo?

    ResponderEliminar