Usuario administrador local a través de GPO

8

Tengo un Windows 2008R2 DC (solo configuración), ya teníamos alrededor de 25 clientes Windows 7 profesionales / ultimate, que ahora vamos a unir a nuestro nuevo dominio / cc. Los usuarios ya estaban usando las máquinas y eran administradores locales en esa máquina.

Quiero implementar un USUARIO a través de GPO que puede crearse en cada cuadro de Windows 7 LOCAL y tener derechos de administrador local o un usuario de dominio que tenga derechos de administrador LOCAL en cada PC en el dominio (Windows XP, 7).

Estaría agradecido si alguien pudiera ayudarme en esto: intenté crear un usuario, pero no se creó, usé el Computer Settingsgrupo en GPO Edit para crear el usuario.

Gracias por leer - esperamos su guía Rihatum

windows-server-2008-r2 group-policy rihatum
fuente

Respuestas:

9

Mi primera recomendación es que le quites esos derechos de administrador a los usuarios. Te hará la vida mucho más fácil al final. ¡MUCHO MÁS FÁCIL! Los usuarios tienen la tendencia de realmente estropear sus computadoras cuando son administradores ... Virus, spyware, barras de herramientas, freeware basura, cambiar esta configuración, eliminar este archivo ... simplemente no lidiar con eso.

Dicho esto, si realmente tiene que otorgar derechos de administrador a los usuarios, puede crear fácilmente un usuario de dominio que tenga derechos de administrador local en cada PC. Comience creando un usuario en AD. Luego cree una política de grupo y aplíquela a todas las estaciones de trabajo. En esta política de grupo, profundice en esto:

Configuración del equipo -> Políticas -> Configuración de Windows -> Configuración de seguridad -> Grupos restringidos

Agregue un nuevo grupo restringido y asegúrese de que los administradores de dominio y el usuario que acaba de crear sean miembros del mismo. Esto no le permitirá agregar ningún otro administrador local a estas máquinas, sino que simplemente logrará lo que desea hacer.

Jason Berg
fuente
Hola Jason, gracias por tu respuesta, ¿hay alguna forma de eliminar cualquier usuario administrador local existente en las estaciones de trabajo del cliente a través de GPO? luego aplicar mi gpo de administrador local en las máquinas cliente? Además, si, por ejemplo, la CC se cayera, ¿ese usuario local (que crearemos a través de GPO) todavía podría acceder a la máquina localmente? Gracias
rihatum
4

Las otras respuestas lo cubrieron bien, pero solo mencionaré que las Preferencias del lado del cliente de la Política de grupo son otra buena opción para administrar usuarios y grupos locales, con un poco más de flexibilidad (pero menos compatibilidad del cliente) que los Grupos restringidos.

Shane Madden
fuente
1
NB: Debería haberse instalado como parte de las actualizaciones regulares, pero los clientes XP necesitan un parche para permitir el uso de las preferencias del lado del cliente.
Holocryptic
Hola @ Holocryptic, ¿qué significa NB ...?
Margarita
1
@ warl0ck en.wikipedia.org/wiki/Nota_bene
Holocryptic