Tengo:
- controlador de dominio
- múltiples usuarios de dominio
- múltiples estaciones de trabajo con Windows (cliente de este dominio).
Las estaciones de trabajo de Windows son computadoras físicas nuevas y nuevas. No se ha realizado ninguna configuración en él, excepto unirse al dominio.
Hay 3 puntos que no entiendo:
¿Existe alguna forma de configurar en el directorio activo los permisos de usuario local? Por ejemplo, decir que este usuario (o grupo) de dominio debe ser administrador en esta computadora física. ¿O debería hacerlo manualmente en cada computadora física?
¿Hay alguna manera de negar usuarios específicos en máquinas específicas? Por ejemplo, todos los usuarios pueden conectarse en todas las estaciones de trabajo con RDP excepto una.
Intenté configurar la membresía de grupos locales manualmente en una estación de trabajo. No lo entiendo, pero puedo ver las membresías de mis grupos locales cuando escribo
whoami /groups, pero veo una línea en blanco "Membresías de grupos locales" en elnet user bob /domainresultado del comando. Cuál es la razón ? ¿Quizásnet user xxx /domainno está diseñado para mostrarse a grupos locales? Pero en este caso, ¿por qué veo una línea en blanco "Membresías de grupos locales"? Intenté escribirnet user bob(sin el indicador /dominio) pero aparece un error porque este usuario no existe localmente.
Gracias
Respuesta1
¿Existe alguna forma de configurar en el directorio activo los permisos de usuario local? Por ejemplo, decir que este usuario (o grupo) de dominio debe ser administrador en esta computadora física. ¿O debería hacerlo manualmente en cada computadora física?
A través de la Política de grupo, use "Preferencias > Panel de control > Usuarios y grupos locales". (Creo que también había una forma diferente, pero las Preferencias funcionan bien aquí y permiten que varios GPO superpuestos agreguen sus propios grupos de administración).
Pero si cada computadora tiene un usuario específico asignado como administrador, puede ser más fácil hacerlo manualmente en cada computadora. (Puede utilizarlo scpara iniciar de forma remota el servicio WinRM y luego utilizar winrsPowerShell Remoting para invocarlo de forma remota net localgroup /add...)
Por supuesto, podría usar ambos: GPO para otorgar administración local al "personal de TI" (y para eliminar "Administradores de dominio" del administrador local), pero otorgar manualmente administración local al usuario asignado.
¿Hay alguna manera de negar usuarios específicos en máquinas específicas? Por ejemplo, todos los usuarios pueden conectarse en todas las estaciones de trabajo con RDP excepto una.
A través de la Política de grupo, configure "Configuración de Windows > Configuración de seguridad > Políticas locales > Asignación de derechos de usuario > [Permitir/Denegar] iniciar sesión a través de Servicios de Escritorio remoto". El valor predeterminado ya es permitir solo administradores + miembros de "Usuarios RDP".
Esto también se puede configurar localmente por máquina a través de gpedit.msc o secpol.msc, pero como la configuración predeterminada ya no permite a los usuarios que no están en "Usuarios RDP", es más sencillo agregar o eliminar miembros del grupo.
(Nota: el tipo de inicio de sesión "Interactivo" incluye inicios de sesión locales y RDP, mientras que el tipo de inicio de sesión "Red" es para acceso SMB. Si instala SSH, generalmente se clasifica como "Interactivo", pero en algunas situaciones puede ser "Red".)
Intenté configurar la membresía de grupos locales manualmente en una estación de trabajo. No lo entiendo, pero puedo ver las membresías de mis grupos locales cuando escribo whoami /groups, pero veo una línea en blanco "Membresías de grupos locales" en el resultado del comando net user bob /domain. Cuál es la razón ? ¿Quizás el usuario de red xxx/dominio no está diseñado para mostrar grupos locales? Pero en este caso, ¿por qué veo una línea en blanco "Membresías de grupos locales"? Intenté escribir el usuario de red bob (sin el indicador /dominio) pero aparece un error porque este usuario no existe localmente.
Mostraría membresías locales.en el controlador de dominio,aparentemente.
Sospecho que es una reliquia de los dominios anteriores a AD (como los "dominios NT" basados en NetBIOS), ya que net.exetodavía tiene mucho código sobrante de esa época; incluso recuerda OS/2 LAN Manager e incluso NetWare (como el no utilizado). interruptor /fpnw).