Problema administradores locales mediante GPO

[RavenxD]

Buen día.

Les escribo porque quisiera pedir su ayuda.

He entrado a trabajar hace poco en una empresa X con al rededor de 200 usuarios y la misma cantidad de PCs. Dispongo de un AD (windows server 2008 R2) donde tengo al rededor de 20~25 OUs por cada área. Dentro de una de ellas (informática), se encuentran todos los usuarios de el área de TI. Antes de proseguir quiero mencionar 2 puntos:

1.- Estuve leyendo y entiendo que existe un grupo de seguridad llamado Administradores y otro Administradores del Dominio. Entiendo que el segundo está incluido dentro del primero (membresía). Sin embargo, dado que la estructura no la he diseñado yo, menciono otro punto.

2.- En lugar de usarse el grupo "Administradores de dominio", se ha creado un grupo "Admins. del Dominio" y éste es el que se agrega automáticamente al grupo de administradores locales cuando ingresamos un equipo al dominio (en lugar del "Administradores de dominio" ó "Domain Admins"). Éste cambio no lo entiendo mucho pero dado que la persona que diseñó la estructura ya no labora ni es posible contactarla, tengo que trabajarlo así.

Ahora bien, todo el personal de TI estaba incluido dentro del grupo "Admins. del dominio" y por ende, dentro del grupo Administradores, con la consiguiente falla de seguridad que esto implica. El actual jefe ha dispuesto que cambien esta configuración y que la gente de soporte (mesadeayuda) solo tenga acceso a instalar/desinstalar programas, modificar eventualmente el registro de windows, etc en las PCs del dominio pero que no sean administradores de dominio ni puedan logearse en el servidor controlador.

Estuve averiguando y una forma de hacer esto, esta creando un grupo de seguridad (por ejemplo: Soporte) dentro de una UO especial (por ejemplo: UO -> Soporte IT) y ahí colocar a todos los usuarios de soporte. Luego mediante una GPO, hacer que todas los equipos del dominio agregue el grupo Soporte al grupo de administradores locales de cada equipo.

Leí el artículo publicado en:

http://social.technet.microsoft.com/Forums/es-ES/wsgpes/thread/88d5629e-1c4e-43fc-acad-ca3fc9c4e2cd

pero la verdad, no me funcionó. Básicamente lo que hice (a modo de prueba) fue lo siguiente:

Creé una UO llamada Equipos de prueba. Dentro de esta, creé un grupo con el mismo nombre. En dicho grupo agregué dos equipos: uno virtual (con XP) y la máquina desde donde me conecto mediante RD (windows 7). Luego creé una GPO de nombre Local Admins y realizé paso a paso lo indicado en el artículo linkeado líneas arriba: configuración del equipo, configuración de windows, configuración se seguridad, grupos restringidos. Cree un nuevo grupo, examinar, grupo administradores (midominio\Administradores), ok, aceptar. Luego aparece la pestaña de "miembros de este grupo", agregar y aquí incluí mi grupo de seguridad Soporte (midominio\soporte).
Hecho esto, vinculé esta GPO a la UO Equipos de prueba y con esto se supone que es todo, verdad? Probé reiniciando los equipos (el XP y el Seven) y nada. Apliqué el comandogpudpate /force desde el cmd tanto en las workstation como en el servidor y nada.

¿Qué estoy haciendo mal?

Agradezco de antemano toda su ayuda y si necesitan alguna info extra, responderé a la brevedad posible.

Saludos.

[lmchv]

Vayamos por partes, la configuracion que mencionas no es poco comun, muchas compañias optan por segregar las autorizaciones de dominio para evitar "brechas de seguridad". Sin embargo, los nombres de los grupos que han puesto confunden bastante lo que estas tratando de lograr.

Lo que yo haria seria lo siguiente:

1) Revisar el grupo Domain Admins (este es un built-in group y no se puede modificar, solo cambiar la membresia) y validar que usuarios deberian de estar metidos en este grupo. OJO, este es el grupo de mayor privilegio en el dominio y debes de tener mucho cuidado quien esta ahi.
2) El grupo Domain Admins se debe de seguir agregando por defecto en las maquinas, si esto no esta pasando entonces hay una GPO que esta controlando esto. Anda a Computer-> Manage -> System Tools -> Local Users and groups -> Groups -> Administrators y fijate que grupos estan ahi. Segun lo que dices es "automatico", por lo que entiendo que algo lo esta modificando, averigua que es.

Ahora, para que puedas manejar el grupo Administrator de tu maquina:
1) Crea una GPO y linkeala a tu OU de prueba
2) Mueve un par de computadoras ahi
3) Edita la GPO y haz lo siguiente:

• Anda a "Computer Configuration"
• Preferences
• Control Panel settings
• Local Users and Groups
• Boton derecho, new local group
• Action: UPDATE
• Group name: Administrators (Built-in)
• Members, add, pon un usuario X para probar
• OK

asegurate que la OU este correctamente linkeada a esta OU, reinicia tus maquinas y prueba ejecutando un RSOP (Resultant Set of Policies) en tu herramienta de administracion de GPOs o ejecuta: gpresult /R, asegurate que la GPO se ha aplicado y aparece entre la lista de GPOs.

Una vez que tengas esto asegurado fijate en la configuracion de usuarios y grupos locales de tu maquina, deberia de aparecer el usuario que has puesto.

Ahora, tu error es algo muy sencillo, cuando creaste la GPO usaste el grupo de dominio y no el local de la computadora, la GPO es probable que se haya aplicado bien, solo que el grupo que usaste no existe localmente en la maquina.

Mi recomendacion, una vez que puedas controlar esto correctamente es:

1) NO manipules el grupo Administrators del dominio, dejalo ahi como esta, si quieres darle privilegios a alguien a nivel del dominio usa Domain Admins con mucho cuidado
2) Crea un grupo para los administradores de soporte y mesa de ayuda, usa este grupo para otorgarles acceso a administrar las maquinas
3) Asegurate que no haya mas GPOs controlando esto, de lo contrario el resultado sera erratico en las diferentes OUs que tengas
4) Ten MUCHO CUIDADO al modificar las GPOs, es probable que alguna que este modificando algo que te causa problemas tambien este controlando otras cosas que si estan funcionando bien, usa las herramientas GPRESULT, GPUPDATE y RSOP para asegurarte que todo se este aplicando correctamente.

Y lo mas importante: suerte!

[RavenxD]

A ver Imchv, ya masomenos estoy dando por donde va el problema.

Hice una pequeña modificación:

El computador donde estoy usando (ej: PC-01) RD para el controlador de dominio, en local groups, administradores aparecían:
Administrador
Admins. del Dominio
Informatica.

Le eché un ojo a las UO y encontré que había una "UO" (uso comillas porque no aparece como tal a la hora de entrar al Administración de directivas de grupo) llamada Computers. Dentro de esta aparecían todos mis equipos que pertenecían al dominio. Esta lista se actualizaba automáticamente al ingresar una nueva PC al dominio (lo probé con mi PC virtualizada "pruebas").

Dentro de otra "UO" (que tampoco aparece como tal a la hora de entrar al Administración de directivas de grupo) llamada Users, había un grupo llamado Equipos del Dominio, donde sus miembros eran todas las Estaciones que figuraban en la "UO" Computers. Recuerdo que cuando estaba probando, cree otro grupo de seguridad dentro de la UO Informática llamado "Equip Dom" donde agregué todas las PC mediante el "search". Sin embargo este grupo no actualizaba automáticamente sus miembros como si lo hacía el grupo Equipos del Dominio dentro de Users.

Hoy saqué el equipo que uso (PC-01) de la UO Computers y lo meti en una UO creada llamada "Equipos de Informatica". Dentro creé un grupo de seguridad y metí la PC-01 a ese grupo. Luego apliqué la GPO creada a esa UO (Equipos de informática) y hualá!, al ir a mi grupo de Administradores locales aparecía:
Administrador
Soporte Local

Soporte Local es el grupo global que utilizé para pruebas. Hasta aquí todo normal y feliz. Sin embargo, regresé todo a la normalidad (PC-01 al UO Computers) y como no podía aplicar la GPO al grupo "Equipos del Dominio" (el que se actualiza automaticamente), cree una UO con el mismo nombre y moví el grupo desde la "UO" users a la nueva UO creada. Víncule la GPO a esta nueva UO y al aplicar gpupdate /force a la PC-01, me volvió a aparecer:
Administrador
Admins. del Dominio
Informatica.

Entiendo entonces que hay alguna GPO que esta modificando eso (lo que mencionaste en el post). Donde podría ver eso?

Aquí si estoy un poco perdido y agradeceré tu ayuda.

Saludos.

[lmchv]

Para ver que GPOs estan aplicandose solo tienes que usar el RSOP. Esta herramienta es un snap-in y no aparece en tus herramientas administrativas. Para cargarla solo tiene que ir a Start->run y poner "mmc", se te va a abrir una ventana vacia de Management Console. Luego vas a Añadir / quitar Snap-ins y buscas "Resultant Set of Policies", asumo que en español sera algo como "Resultante de politicas"o algo parecido. Una vez cargado el snap-in, dale click derecho y selecciona la primera opcion "Generate", sigue el wizard en mode Logeo, selecciona tu computadora que estas usando, selecciona que no muestre las politicas de usuario aplicadas y ejecutalo. Ahi podras ver todos los settings que se estan aplicando.

Busca el setting que modifica los grupos, dale doble click y anda a la 3ra pestaña, ahi te aparece el nombre de las GPOs que controlan ese setting, puede haber mas de una, depende de la precedencia cual se aplique.

[RavenxD]

Siguiendo lo que me indicas, me genera un reporte de solo "configuracion de equipo". Acabo de revisar todos y cada uno y no encuentro nada que modifique los grupos locales, todas estan en "no definido" :/

Que mas puede ser?

[lmchv]

??
te has fijado que GPOs se aplican a nivel de maquina?, lo unico que se me ocurre es que el setting este a nivel de usuario pero que yo recuerde, ese setting esta solo para Computers. Revisa eso, mañana recien voy a poder chequear en mi dominio eso, ahora estoy en mi casa.

[RavenxD]

Si, como te digo en el RSoP seguí tus indicaciones y solo me arrojó las configuraciones a nivel de máquina. A nivel de usuario, he revisado todas las GPOs que están definidas (existían un par denominadas Default Domain Controllers Policy y la otra Default Domain Policy) pero ninguna modificaba lo de grupos restringidos.

[lmchv]

Cuando instalas una maquina de 0 y la metes a dominio, se le meten esos grupos?

[RavenxD]

He revisado y se agrega el grupo "Admins. del Dominio" (que no es el default = Administradores del dominio). Curiosamente tambien se agrega un usuario "Informatica" pero ese usuario no lo encuentro en el AD -.-! He revisado 2 pcs fuera del area de informatica y tienen ese usuario dentro del grupo de adm. locales. Que puede estar pasando?

Saludos.

[lmchv]

El usuario "informatica" es local o de dominio?, si no existe en el dominio deberias de ver el GUID en vez del nombre

[RavenxD]

Acabo de hacer consulta a los de soporte mas antiguo y si, es un usuario que crean local y manualmente ellos. Segun lo veo, es posible cambiar la configuracion para que para que tome como grupo determinado en lugar de Administradores de Dominio el grupo Admins. del dominio?

Saludos.

[lmchv]

Puedes cambiar la membresia del grupo "administrators" (en cada maquina) con lo que desees, aunque como te indique mas arriba, no deberias de quitar Domain Admins de la lista, lo que tienes que hacer es depurar ese grupo y usar otro para los administradores mas restringidos.

[RavenxD]

Creo que no me dejé entender. Me refería en el AD. Por defecto, en cada máquina de dominio añade el grupo Domains Admins (Administradores de dominio) al grupo de Local Administrators, ¿Correcto? ¿Es posible cambiar esto? Es decir, que ya no tome como grupo predeterminado al grupo Administradores de dominio sino Admins. del Dominio.

Saludos.

[lmchv]

En realidad si es posible de cambiarlo usando el metodo explicado mas arriba, sin embargo no te lo recomiendo. La mejor manera de administrar algo es mantenerlo simple, no veo una necesidad real para hacer ese cambio. Keep it simple.

[RavenxD]

Buen día Imchv.

Ante todo agradecer por la información brindada (me fue de mucha utilidad, sobretodo el RSoP) y ofrecerte una disculpa por la demora en responder pero ayer tuve un día complicado :/.

Con respecto a mi problema, lo que hice fue mover todos mis equipos del contenedor Computers a una UO que creé. Noté que no todas mis computadoras estaban dentro de ese contenedor sino que habían equipos que estaban dentro de otras UO correspondientes a su área. La verdad, la distribución que se ha venido manejando está bastante desordenada y como te mencioné, cada UO tiene una GPO vinculada. Son alrededor de 60 GPOs que están definidas así que aprovecharé el fin de semana para echarles un ojo a cada una de ellas.

Por otro lado, antes de dar por solucionado este tema, quisiera hacerte una última consulta:

Dentro de las GPOs hay 2 llamadas Default Domain Policy y Default Domain Controllers Policy que, según he leído, la primera se aplica a todos los equipos unidos al dominio y la segunda al controlador(es) del dominio. Al abrir el administrador de GPOs, vi que en "Domain Controllers" la segunda estaba vinculada pero sin embargo, en todas las UO no figuraba la primera vinculada. Mi pregunta es: ¿Este vínculo viene por defecto y no debe aparecer? Mi sentido común me indica que sí y que fue quitado para aplicar GPOs independientes a cada UO pero quería tu confirmación.

Gracias por la ayuda y saludos cordiales.

[lmchv]

La Default Domain Policy es como su nombre lo indica, la GPO por defecto del todo el dominio. Esta GPO esta vinculada a TODO el dominio y por ende tiene la mayor jerarquia reemplazando cualquier otro setting en conflicto con esta. No es necesario que la vincules a una OU, siempre se va a aplicar asi no quieras!. Puedes ver en la lista de GPOs aplicadas que siempre aparece.

¿Por que se hace esto?, basicamente es porque necesitas una manera de controlar ciertos settings de las cuentas a nivel de todo el dominio, aca vas a encontrar las politicas con respecto de los passwords, algo basico en el AD, tambien auditoria, etc.

[RavenxD]

Por lo mismo, revise en el dominio y no figuraba vinculada ni tampoco en ella misma figuraba a que estaba vinculada. Como si la hubieran quitado. En todo caso, si la vinculo al dominio defrente, no afectará a mi controlador(es), correcto?