Hola amig@s en esta ocasión les traigo una política de grupo o GPO para otorgar permisos de Administración local a los equipos del dominio.
Definir usuario
Primero que nada, debemos definir cuál será el usuario al que vamos a darle los privilegios para apoderarse de los equipos de dominio a nivel local.
Si ya sabemos quién será el indicado y el usuario existe, omitamos el paso siguiente.
Creación de usuario
De lo contrario vamos a crear un usuario nuevo. Para este ejemplo crearemos un usuario llamado «usuario1». Así que vamos a «Active Directory Users and Computers», definimos la Unidad Organizativa donde vivirá nuestro usuario y lo creamos.
Definimos el «Password» y las opciones que más nos convengan en la siguiente ventana y continuamos.
Y damos clic en «Finish».
Creamos Política de grupo
Ahora vamos a la consola de «Group Policy Management» y creamos una nueva política linkeada a la unidad organizativa donde tenemos los equipos que deseamos que usuario1 administre.
Debemos tener cuidado de no linkear esta política a nivel de dominio porque esto puede afectar también a servidores y controladores de dominio.
Editamos nuestra GPO y en Computer Configuration/Preferences/Control Panel Settings/Local Users and Groups/New/Local Group
Ahora en la pestaña de Local Group, seleccionamos el «Group Name» desde el menú desplegable y asignamos «Administrators (built-in)» y en «Members» añadimos al usuario que hayamos definido para esta tarea.
En la siguiente imagen podemos ver como ha quedado la configuración de nuestra política.
Actualizamos políticas
Ahora ejecutamos desde línea de comando:
gpupdate /force
Prueba antes de aplicar política
Vamos hacer una prueba antes de llevar el equipo que le aplicara la política, a la unidad organizativa correspondiente.
Ejecutamos PowerShell como administrador y nos daremos cuenta de que nos solicita credenciales de administrador para poder hacerlo, lo cual quiere decir que nuestro usuario sigue siendo un simple mortal para nuestro equipo.
Este sencillo procedimiento sera prueba suficiente para saber que no somos administradores.
Aplicamos política
Vamos a mover el equipo de pruebas a la unidad organizativa donde tenemos nuestra política.
Desde el equipo cliente ejecutamos
gpupdate /force
Vamos a validar desde la consola «Computer Management/Local Users and Groups/Groups/Administrators» que «usuario1» ya es parte del grupo.
Vamos a ejecutar PowerShell como administrador, nos podremos dar cuenta que ahora solo nos muestra un «warning» sobre si deseamos que esta aplicación pueda hacer cambios en nuestro esquipo. Damos clic en «Yes».
Y bueno, tenemos nuestro PowerShell como administrador y de la misma manera con el resto de las aplicaciones, no tendremos límites.
Espero que este post les sea de utilidad, buena suerte y hasta la próxima.
Que la fuerza este con ustedes!
