Crear cuentas locales

La pregunta clara, concreta y concisa, sin añadidos ni suposiciones es:

¿Puede un usuario de dominio que pertenece al grupo administradores de una máquina (que también está registrada en un dominio) crear una cuenta local en dicha máquina?

Es que me he apostado un chicle de fresa a que la respuesta es afirmativa y aquí hay un individuo que me replica con cierta osadía que no sé de lo que hablo.

Como más bien creo que en este caso la ignorancia vive al otro lado, a ver si alguien con conocimiento puede dar luz definitiva a la cuestión y en caso de responder negativamente que fundamente adecuadamente la respuesta.

Gracias.

Creo que en realidad no terminas de entender.

Lo he dejado claro, y he sido directo y afirmativo al responder dos veces en la otra consulta, y una tercera no es necesaria que implica ser didáctico o simplemente linkear información referente.

No es posible si no tiene habilitado los privilegios para hacerlo: usuario de confianza o administrador de red del dominio para ejecutar determinadas funciones administrativas, y el que probablemente debe notificar a otro de nivel superior para permitir o denegar algo.
http://www.forosdelweb.com/f42/nuevo...ws-7-a-942330/

Podrá crear cuentas locales y remotas pero no significa que puede agregarla a un grupo de usuarios registrados en el dominio, y si le quitaron ese privilegio no podrá probablemente ni siquiera eliminar, renombrar cuentas, etéctera.

El administrador de red perfectamente puede habilitar una sola cuenta de usuario por equipo sea fisico o virtual.

Creo que no acabo de explicarme pese a haberlo subrayado en repetidas ocasiones: una cuenta incluída en el grupo administradores puede crear cuentas LO-CA-LES en esa máquina. No necesita más permisos.
Cuentas locales repito, que ya sé perfectamente que no podrá agregar esas cuentas al dominio salvo que tenga concedidos permisos expresos para ello, pero si se lee atentamente la cuestión no hace referencia en ningún momento a añadir cuentas al dominio.

El administrador de red podrá tener en su Directorio Activo las políticas que considere necesarias pero que no sabemos ni tú ni yo (de ahí que encabeze mi consulta con un "sin añadidos ni suposiciones"). Obviamente se puede suponer que generalmente no va a ver el mismo nivel de restricciones en un despacho de 15 personas que en una organización de 15.000; pero no se trata, una vez más, de suponer.

Gracias por su atención.

He sido enfático en aportar una respuesta que debería esclarecer cualquier duda.

Solo admite el error, y aprende a verificar lo que dices
porque Yo siempre lo hago incluso edito mis respuestas
cuando me olvido de alguna cosa o me hice la ídea equivocada.

CYCLONUX, creo y estoy casi seguro que no se refiere a tus respuestas sino a las mías o posiblementa a ambas (tuya y mía).

rid501, POR FAVOR, con todo respeto, con toda la paciencia del MUNDO, cuando recibas una respuesta, INVESTIGA para que con tus ojos, tu lectura e investigación COMPRENDAS.

Una persona o grupo de personas que configura un servidor de dominio, puede hacer un simple script que cuando un equipo se autentique con un servidor de dominio, elimine o renombre la cuenta de administrador local del equipo, e incluso, le ponga una contraseña que solo EL o LOS encargados de TI la conozcan.

En el Active Directory (Directorio Activo), se crean los usuarios, grupos de usuarios e incluso áreas de trabajo en la cual va a pertenecer el o los usuarios.

Se pueden crear usuarios, grupos de usuario o áreas específicas, con permisos diferentes y solo de esa forma, es cuando se le permite o no a un usuario hacer más o menos que otros.

¿Ahora compres? Si no es así, nuevamente te PIDO con todo respeto que investigues ya que te si sigues este tema solo por capricho y sin investigas, te lo voy a cerrar nuevamente.

Aquí, al igual que el otro tema que no era tuyo y lo tomaste como si fuera, se te trató de explicar y NO comprendo porqué seguis encaprichado sin investigar.

Hay personas que simplemente instalan un Sistema Operativo (SO) Servidor, lo ponen como servidor de dominio y crean usuarios con el perfil por defecto, o sea, no tienen la más mínima idea de como crear permisos especiales y lo más sencillo que hacen es darle la clave de administrador de dominio a los usuario. NO te engañes, esas personas no tienen conocimiento y si no se ponen a investigar, no son los adecuados para administrar una red.

En la otra consulta no he discutido con rid501
ahora solo le respondí primero para evitar que le traten mal
con malas respuestas en lugar de solo guiarlo porque
siempre aparece gente aprovechada que incluso ni siquiera
aporta algo referido al tema.

Vale gracias por vuestra paciencia pero está claro que no nos entendemos. Sólo un esfuerzo más y leerme un par de veces con la mente abierta, luego ya queda zanjado el asunto

Primero e importante: Estoy de acuerdo en todo lo que me decís de las políticas que pueden aplicarse en un dominio, incluso en cierto dominio validan la cuenta con la que te logueas contra una base de datos donde almacenan todas las cuentas que, por las razones que sean, se permiten que pertenezcan al grupo de administradores locales de la máquina de tal forma que si la cuenta no está autorizada se elimina directamente del grupo administradores.

Pero todo eso no existe automáticamente al crear un dominio. De hecho cada dominio que se crea tendrá las políticas, scripts, restricciones y autorizaciones que los administradores crean conveniente. No podemos siponer "a prori" lo que se aplica o no en un dominio, si lo hacemos estamos suponiendo

Si una persona pregunta si puede crear un usuario local con su usario de dominio la respuesta es SI, siempre y cuando esa cuenta de dominio pertenezca al grupo de administradores local. Si no es administradora del equipo se acabó el asunto. No puede (al menos por caminos ortodoxos), punto.

Otra cosa será que cuando con esa máquina vuelva a conectarse al dominio, las políticas o scripts eliminen la cuenta creada (suponiendo que aplican esa política en ese dominio, claro y sin entrar a valorar si el administrador es bueno, regular o nefasto porque para la respuesta ese dato es irrelevante)

Suponiendo (otra vez) que la cuenta local se eliminase o desactivase será cuando esa persona que ha preguntado vuelva a replicar: "Oye, que he hecho lo que me habeis dicho pero la cuenta desaparece" es cuando debe responderse que probablemente alguna política implementada por el administrador de su dominio la está eliminando.

Repito gracias por la paciencia y decirle a cyclonux que yo he discutido con él, tampoco con BrujoNIC, pero si me molesta que se hagan juicios de valor sobre personas o empresas a las que no se conocen de nada (salvo que llevar poco tiempo aqui sea un prejuicio). Por otro lado siempre entendí un foro como un espacio para la discusión bien entendida, con cabida para todas las opiniones mientras sean correctamente expuestas y razonadas, por lo que no entiendo ni porque "alguien" va a contestar mal o deba cerrarse un post (a no ser que los hilos no puedan pasar de cierta extensión), si se considera que el asunto no dá para más pues se deja de participar en él y ya.

Slds.

Te he explicado las cosas tal como lo haría un profesor siendo directo y enfático, y no basándome en ejemplos existiendo cientos de formas de explicar algo con ejemplos y que al final solo confunden más lo que a penas se comprende.

Cyclonux, ahora soy yo el que te propone que experimentes, ya que un profesor mal puede explicar cuando no entiende la pregunta del alumno:

- Ponte delante de una máquina windows, XP por ejemplo, que pertenezca a un dominio.

- Abre el administrador de usuarios y mira los Grupos de usuarios que hay creados.

- Verifica las cuentas que pertenecen al grupo Administradores (no te confundas con el grupo Administradores de dominio que estará dentro del grupo Administradores).

- Si tu cuenta de usuario de dominio está dentro del grupo Administradores (insisto Administradores, no Administradores del dominio) bien y si no pídele el favor a tu administrador que la incluya para una pruebecita.

- Reinicia el pc para que coja los cambios y logueate con tu cuenta de dominio que ahora pertenece al grupo Administradores (una vez más: administradores locales)

- Intenta crear una cuenta local. No vas a tener ningún problema.

- Quita el latiguillo de red del pc para evitar que las posibles políticas de dominio actuen al reiniciar la máquina ( o no lo quites a ver si el administrador de dominio ha configurado alguna directiva)

- Reinicia el pc y logueate con la cuenta que acabas de crear pero contra el dominio local (es decir, el nombre de la máquina,hay una flechita para seleccionar donde quieres iniciar la sesión).

- Mira si has podico iniciar sesión (local) en la máquina o no. ¡Por supuesto que has podido!

- Ya tienes la sesión iniciada.


Yo ya lo he probado, o sea que sé perfectamente lo que ocurre. Sería justo que ahora, antes de contestarme, hicieses tú la prueba.

Por cierto edito para transcribir literalmente un párrafo del Kit de recursos de Windows XP Profwssional (es la tocho-documentación oficial de Microsoft sobre XP, en total 1470 paginillas de nada). No sería necesario porque es una perogrullada (como todo este hilo), pero ya puestos a informarse. En fin dice textualmente en la pag. 586:

... las cuentas de usuarios locales las debe crear un mienbro del grupo Administradores, en cambio sólo pueden crear cuentas de dominio los Administradores y Operadores de cuentas de nivel de dominio...

Cerré el otro tema, porque no era tuyo y siento una gran falta de respeto no dejar que el usuario interesado responda y otro tome posesión de su tema.

Tomando tu párrafo citado, te dice que "las cuentas de usuarios locales las debe crear un miembro del grupo Administradores" eso quiere decir, cuando un equipo no está autenticado con un dominio, puede crear otros usuarios, puede crear reglas LOCALES en el equipo y puede incluir en el grupo de administradores LOCALES los usuarios que quiera.

En la otra parte "en cambio sólo pueden crear cuentas de dominio los Administradores y Operadores de cuentas de nivel de dominio", eso se refiere si o si a cuentas de usuario de DOMINIO.

Tomando el caso de un equipo que está autenticado con un dominio, ahí aplican políticas y si yo tengo la clave de administrador de dominio, podría ingresar y crear usuarios en el grupo de administradores locales, eso es MUY CIERTO. Pero si yo soy un buen administrador de dominio y sé como funcionan las directivas del Active Directory (AD) y crear script de seguridad, puedo crear un script que apenas de autentique un usuario al dominio, ELIMINE completamtente TODOS los usuarios locales del equipo, que cambie la cuenta de ADMINISTRADOR local por otro nombre como PEPITO y a su vez, ponerle una contraseña.

Así que REPITO, si en una empresa sea pequeña, mediana o grande, conocen las cosas que deben hacer los usuarios, es en las mismas políticas donde se le indica hasta qué nivel pueden hacer o NO hacer los usuarios.

Tambien te vuelvo a decir, que si un equipo portatil NO va a estar en la oficina por los motivos que sea, por ejemplo, que tengas que estar visitando clientes, NO los metería a autenticarse en un servidor de dominio para que tengan toda la libertad de hacer su trabajo sin problemas de que no pueda instalar nada.

Este tema es tuyo, NO te lo voy a cerrar pero espero que vayas comprendiendo y cuando cites algo, analiza y veras.

Nadie nace aprendido y no hay preguntas tontas, pero es muy importante informase bien, tomar en cuenta los comentarios aunque no me gusten y aprender de ellos.

Saludos.

Ese es el quid de la cuestión que todavía no entendeis. No te hace falta ser administrador de dominio para crear cuentas locales, basta que tu cuenta esté incluída en el grupo de administradores locales de la máquina en cuestión. ¿Y quién puede incluir tu cuenta en el grupo Administradores? Pues o un Administrador de dominio o el usuario Administrador del pc. Olvidaos de las directivas que luego puedan o no aplicarse, eso ya se verá, pero tú en principio, siendo miembro del grupo de Administradores locales podrás crear cuentas locales, que es lo que me estais pretendiendo rebatir desde el principio. Es más mientras no vuelvas a loguearte en el dominio las posibles políticas NO se aplicarán. Y voy más lejos aún, si inicias sesión en el dominio sin estar fisicamente conectado a él evitarás todos los posibles scripts de inicio de sesión que esten programados para ejecutarse en el equipo, luego enganchas el latiguillo y a correr hasta que se refresquen las políticas.

De hecho en corporaciones grandes los administradores de dominio se limitan a crear las cuentas de usuario y máquina en el directorio activo, la creación de la cuenta en la máquina del usuario y su configuración la hacen "in situ" los técnicos de mantenimiento que son administradores en todas las máquinas de su ámbito (si no muy malamente iban a poder trabajar).

Por supuesto ningún administrador de redes en su sano juicio le da la cuenta de administración del dominio a un técnico de mantenimiento, entre otras cosas porque no le hace falta para su trabajo. Como muuucho le incluirá como operador de dominio para que pueda agregar la cuenta creada al dominio cuando configure la máquina por primera vez.

Por mi el tema está zanjado, no dá para más. Puedes replicarme o no a tu conveniencia y después cerrarlo si quieres.

Hasta otra.

Pero la usuario en la otra consulta no forma parte de los Administradores y Operadores de cuentas de nivel de dominio. Por lo tanto... debe enviar un mensaje solicitándolo para finalmente obtener una respuesta lo más probable negativa: Hemos habilitado una cuenta por equipos para reducir los riesgos de filtrado de información e incluso la pérdida de datos.

Una red segura opera con servidores virtuales.