En este tutorial aprenderás cómo crear una GPO para poder incluir Usuarios y Grupos de Dominio como Administradores Locales. ¿Porqué hacemos esto? Porque nos permite asignar privilegios de Administrador Local a usuarios que se encargarán de realizar Soporte Técnico en las máquinas de Dominio.
Antes de crear y aplicar la GPO tenemos que conocer cuales son las diferencias entre un Administrador de Dominio y un Administrador Local. Empezaremos por describir unas premisas de cuando debería y cuando no utilizarse una cuenta de Administrador de Dominio:
- Los Administradores de Dominio (Domain Admins) por seguridad deberían ser utilizados tan sólo en máquinas controladoras de dominio. Microsoft no recomienda realizar tareas administrativas desde estaciones de trabajo y Servidores con cuentas que dispongan de privilegios de Administración de Dominio.
- Una cuenta de Administración de Dominio tan sólo debe ser utilizada para tareas de Gestión y Administración del Directorio Activo (Active Directory), como puede ser crear nuevos controladores de dominio, replicación, etc …
- Cómo medida de Seguridad las tareas de Administración de Usuarios, Equipos, Administración de GPO, etc … deben realizarse con cuentas de administración normales sin permisos de Administrador de Dominio.
- No utilices bajo ninguna circunstancia cuentas de Administrador de Dominio para acceder a Estaciones de Trabajo o Servidores que no sean Controladores de Dominio.
Un Administrador Local es aquel que se encargará de las tareas de mantenimiento y gestión de las máquinas de trabajo de la organización o dominio. Supongamos que necesitamos asignar privilegios de administración local a un usuario específico que pertenezca al Grupo de Soporte técnico de la Organización.
Grupo de Trabajo para Administradores Locales
Primero tenemos que crear un nuevo Grupo de Seguridad e incluir todas las cuentas con de Soporte a este, por lo que todos los miembros que pertenezcan a este grupo serán administradores locales de la estación de trabajo a la que se conectan.
GPO de Administradores Locales
Una vez hemos creado el Grupo de Administradores Locales y hemos asignado Usuarios a este, podemos proceder con la creación de la GPO. La podemos llamar «Administradores Locales» o como deseemos describirla.
Una vez creada procedemos a editar la GPO.
En Directivas de Equipo -> Configuración de Windows -> Configuración de Seguridad -> Grupos Resrtingidos, agregamos el Grupo de Administradores Locales.
Por último necesitamos vincular la GPO que hemos creado:
Esperamos unos minutos a que la política se aplique y comprobamos que funciona correctamente.
Comprobaciones de Usuarios
Podemos comprobar con el comando net user que el usuario que pertenece al Grupo IT Support, también pertenece al grupo de Administradores Locales, cuya finalidad será que pueda realizar tareas de administración y mantenimiento en los equipos de Dominio.