Active Directory Y Directivas De Seguridad

Por favor, alguien podria echarme una mano con este tema. He investigado pero no encuentro el metodo exacto para aplicarlo. La verdad es que es algo complejo.


El planteamiento inicial seria :

Crear un Usuario Administrador con derechos para instalar/desinstalar aplicaciones en el servidor, pero sin derechos para modificar configuraciones y aplicaciones pertenecientes al sistema operativo :

- Usuario Administrador.



Aprovechando las plantillas de AD y sus propiedades, tenemos que conseguir :



Derechos para instalar aplicaciones en un servidor ( Es controlador de dominio! )

No queremos que tenga control del sistema :

- No podría cambiar setting de red
- No podría cambiar nombre de máquina
- No podría Instalar un servidor DHCP, FTP, etc...



El acceso al servidor tiene que ser local


Todo esto es posible con las directivas que dispone Windows 2000 Server ?

Si alguien puede ayudarme en la manera de solucionarlo se lo agradezco mucho.
Muchas gracias y saludos.

Hola

Lo mas facil es crear un local group y dentro de este grupo crear al usuario normal, despues creas una OU y ahi editas las politicas, lo mejor es que lo metas al grupo perteneciente de power users al nuevo usuario, entonces quedaria asi:

nuevo grupo local llamado ejem. (helpdesk)
usuario nuevo (pablo) que pertenece a users de dominio y a power users.
pablo lo metes al grupo helpdesk
creas una OU llamada (Oficinahelpdesk)
metes al grupo helpdesk en Oficinahelpdesk
en oficinahelpdesk vas a propiedades y creas la politica o das editar ahi es donde niegas que puede hacer (solo algunas cosas) ya que otras cosas que quieres hacer las modificaras, siempre estando en propiedades de oficinahelpdesk en la lista de los grupos de pertenencia si vas a avanzados veras esto de poder crear grupos, OU, hijos OU etc.

Buen trabajo

No logro comprenderlo.

Me parece que no me he explicado bien. Lo que necesito es lo siguiente, me explico :

Tenemos una serie de usuarios que necesitan ser administradores de determinados servidores, estos usuarios instalan aplicaciones, y necesitan acceso de casi administrador local del servidor.

Aprovechando las plantillas de seguridad y las propiedades de AD, tendríamos que ser capaces de dejarles que se intalaran sus aplicaciones en dicho servidor pero..... NO teniendo control del sistema operativo, no podrían cambiar los settings de la tarjeta de red , no podrían cambiar el nombre de maquina, no podrían instalar un DHCP o FTP, es un poco complejo pero la idea es dejarle hacer casi cualquier cosa en esos servidores pero... impedirles que se instalen o desistalen aplicaciones del sistema operativo.

No obstante, muchisimas gracias por la contestacion anterior. Pero por favor necesito mas ayuda, todavia no soy un experto administrador.

Hola

Ahora bien para administrar como quieres es decir negando ciertas cosas. lo que debes hacer es utilizar las herramientas que te ofrece AD y esto lo haces desde users and computers.

Ahi depende como tengas estructurado tu dominio si tienes OU o no, si tienes creado grupos de trabajo o bien los administras por departamento. etc

Ahora bien si la idea es que tengan derechos de administrator, entonces los usuarios los metes solamente al grupo power users, yo te decia de hacer un grupo aparte porque hablas de "determinados servers" no de todos los servers, esto haria mas facil la administracion.

quiza continuo sin explicarme bien!! pero es fundamental saber como tienes estructurado el dominio para saber si te basta solamente crear un grupo local o debes crear uno global y luego meterlo a uno local.

Mucha informacion sobre AD la encuentras en el sitio de microsoft en soporte en linea para windows 2000 server.

ciao

En primer lugar, agradecerte la ayuda que me estas prestando.

Ahora bien... la cosa cambia.

Necesito crear un usuario local con derechos de casi administrador para asi poder instalar aplicaciones. Este usuario local pertenece a un servidor miembro independiente ( MSI ) utilizado para aplicaciones.
Cuando digo casi... me refiero a que necesita realizar tareas administrativas pero no ser administrador, lo ideal seria un Operador de Servidor. He realizado la prueba con un usuario operador de servidor, pero no me deja instalar aplicaciones. Para instalar solo puedo con administrador.
Se te ocurre una posible solucion, please ?

Saludos.

Hola otra vez


Te entiendo bien tu idea, el problema que no detallas tu directory muy bien.

bien te dire como lo hago yo... en un dominio local padre.

creo un grupo (local y de seguridad) en users and computers y creo un usuario (power user) y lo meto al grupo....... espero que hasta aqui me entiendas

luego creo una OU y meto el grupo.......

luego en propiedades creo una nueva politica y doy en editar...

cuando se abre la mmc con esta nueva politica en configuracion del computer doy click en windows settings => protection => criterio local => y ahi busco el criterio de instalar software con altos derechos y tambien busco el criterio conectar en local e incluyo el grupo que habia creado primero

para que te funcione bien debes tambien buscar en la carpeta windows de configuracion de usuario, el criterio instalar software con altos derechos lo habilitas y al final das ok y ok

p.s. El usuario nuevo que habilito le doy permisos de power user y luego solo habilito el que instale sofware, es màs no lo he probado del todo, pero debe funcionar creando un usuario normal

ciao

Hola nuevamente,

He realizado la prueba y no funciona. Para una estacion de trabajo si es valido, pero para un Server no es aplicable.

Creo que la unica solucion sera crear una directica para la publicacion de Software en el Panel de Control / Agregar quitar programas. De este modo siendo Operador de Servidor si nos dejaria.

Muchas gracias por todo, no obstante si se te ocurre algo mas...

Saludos.