Remote Desktop: Permitir a Usuarios Normales Utilizar las Heramientas Administrativas en Controlador de Dominio

En la nota anterior vimos cómo configurar un Controlador de Dominio para permitir que un usuario normal pueda conectarse por Remote Desktop (Escritorio Remoto) en modo administración

Pero hemos visto que con la configuración hecha, no alcanza para que pueda ejecutar las herramientas administrativas

En esta nota veremos la configuración adicional, para que pueda utilizarlas, aunque por supuesto si no se ha delegado ninguna tarea administrativa no podrá modificar nada. Pero que sólo pueda ver toda la información del Dominio ya es un riesgo importante de seguridad. En la tercera y última nota de la serie veremos cómo podemos limitar qué consolas y aplicaciones podrá utilizar

Hay una configuración adicional que debemos ejecutar en la “Default Domain Controllers Policy” ya que para poder utilizar las herramientas administrativas además de lo necesario para ingresar por Remote Desktop (Escritorio Remoto), el usuario debe tener el derecho de inciar sesión en modo interactivo. Como si fuera desde teclado local, aunque en este caso lo haga a través de Remote Resktop

Así que editamos nuevamente la “Default Domain Controllers Policy”, y le asignaremos al grupo, que ya habíamos creado en la nota anterior, Soportes, el derecho “Allow Logon Locally”

Actualizamos la aplicación de la GPO

Y volvemos a CL1, inciando la sesión con el usuario “Soporte Uno” (S1), y nuevamente nos conectamos al Controlador de Dominio (DC1), que como habíamos ya configurado en la primera parte, sabemos que funciona

Cuando vamos a ejecutar Server Manager nos pedirá las credenciales (UAC)

Y podremos observar que ahora sí, ya tenemos acceso a la aplicación

Además, podrá acceder a todas las herramientas administrativas

 

Esto, como comentábamos antes, puede ser un problema de seguridad, porque aunque no tiene privilegios para modificar nada, podrá ver información que no nos conviene que un usuario normal pueda ver

Bueno, pero para algo le queremos dar acceso por Remote Desktop a un Controlador de Dominio. Vamos a suponer un caso que desarrollaré en la próxima nota: es una persona de confianza y quiero darle acceso de sólo lectura al Event Viewer (Visor de Sucesos) para que me informe si observa errores o advertencias peligrosas

Esta parte, limitar las consolas y herramientas que puede usar lo dejaremos para la tercera y última de esta serie de notas

By Guillermo Delprato, on 20 enero, 2015 at 12:18, under Active Directory - Directorio Activo, Administración, How To - Step-by-step - Paso a paso, Remote Desktop - Terminal Services, Windows Server, Windows Server 2012, Windows Server 2012 R2. Tags: , , , , , , , , . No hay comentarios
Post a comment or leave a trackback: Trackback URL.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *