29/11/2006, 08:28
| |||
| |||
| Derechos Admnistrativos a usuarios en Windows 2003 Server Hola, quisiera darle a un usuario (o a un grupo) en Windows 2003 Server permisos para administrar el RAS y para hacer Scandisk y Defrag de los discos del servidor. Por diversos motivos no me interesa que el usuario (o el grupo) pertenezca al grupo administradores. ¿Alguien me puede dar alguna idea? Muchas gracias y saludos. |
|
29/11/2006, 17:01
| ||||
| ||||
| Si lo que te interesa es solamente darle acceso a esas tres aplicaciones puedes utilizar el comando runas el cual te permite que salves una contraseña de administrador al momento de ejecutar un aplicación, un ejemplo para tu caso seria el siguiente: Usuario: Pedro Tipo: Usuario normal Aplicacion: Explorer Carpeta: \Winnt Puedes hacer un archivo por lotes o un acceso directo con esta linea RunAs /user:dominio\administrador "%SystemRoot%\explorer.exe /e, \"c:\Winnt\"" puedes documentarte mas usando google u otro buscador. Saludos |
|
30/11/2006, 03:14
| |||
| |||
| Ya había pensado en utilizar el comando RUNAS, pero el problema es que hace falta introducir el password de administrador cuando se ejecuta el comando y no interesa que el usuario conozca ese password. ¿hay alguna forma de poner el password al introducir el comando y que el usuario no pueda verlo? Gracias |
|
30/11/2006, 03:58
| ||||
| ||||
| Si los pc clientes trabajan con XP Pro: Con la opción de runas /savedcred salvas el perfil y no hay que volver a introducir contraseña. Lo ejecuta el admdor una vez introduciendo la password y luego ya no hará falta volver a meter la password. Cita: salu2 USO DE RUNAS: RUNAS [ [/no_perfil | /perfil] [/env] [/sólo_red] ] /user:<nombre-usuariuo> programa RUNAS [ [/no_perfil | /perfil] [/env] [/sólo_red] ] /smartcard [/user:<nombre-usuario>] programa /noprofile especifica que el perfil de usuario no debe cargarse. Esto permite que las aplicaciones se carguen más rápidament e, pero puede ocasionar que algunas aplicaciones no se ejecuten corre ctamente. /profile especifica que el perfil de usuario debe cargarse. Estos son los valores predeterminados. /env para utilizar el entorno actual en lugar del de los usuarios. /netonly usar si los credenciales especificados son sólo para acceso remoto. /savedcred utilizar si las credenciales guardadas previamente por el usuario. Esta opción no está disponible en Windows XP Home Edition y se omitirá. /smartcard utilizar si las credenciales serán proporcionadas desde una tarjeta inteligente. /user <Nombredeusuario> debería estar en la forma de USUARIO@DOMINIO o DOMINIO\USUARIO program línea de comandos para EXE. Ver los siguientes ejemplos Ejemplos: > runas /noprofile /user:mi_equipo\administrador cmd > runas /profile /env /user:mi_dominio\admin "mmc %windir%\system32\dsa.msc" > runas /env /user:[email protected] "notepad \"mi archivo.txt\"" NOTA: Escriba la contraseña de usuario sólo cuando se le pida NOTA: USER@DOMAIN no es compatible con /netonly. NOTA: /profile no es compatible con /netonly. |
|
30/11/2006, 05:56
| |||
| |||
| Hola, ante todo muchas gracias por vuestra ayuda. He probado lo que me dices y me he encontrado con un problemilla. Funciona como dices, una vez ejecutado el RUNAS con la opción /SAVECRED solamente hay que introducir una vez la contraseña de administrador. El problema es que cualquier otro comando que se ejecute con RUNAS y la opción /SAVECRED va a funcionar sin necesidad de introducir la contraseña. Pongo un ejemplo: si ejecuto: runas /user:administrador /savecred cmd me pide la contraseña de administrador y ejecuta cmd correctamente si vuelvo a ejecutar el mismo comando, no pide la contraseña y se ejecuta el cmd (que es lo que se pretende) pero si ejecuto, por ejemplo: runas /user:administrador /savecred ping también funciona y se ejecuta el ping sin pedirme la contraseña. De esta forma le estaría dando la capacidad al usuario "no administrador" para que ejecute cualquier comando con privilegios administrativos.... Última edición por jhavier; 30/11/2006 a las 06:33 |
|
30/11/2006, 09:09
| ||||
| ||||
| Cita: asi es... utiliza la opcion /savecred para que te guarde el password.
Iniciado por jhavier  Ya había pensado en utilizar el comando RUNAS, pero el problema es que hace falta introducir el password de administrador cuando se ejecuta el comando y no interesa que el usuario conozca ese password. ¿hay alguna forma de poner el password al introducir el comando y que el usuario no pueda verlo? Gracias |
|
30/11/2006, 11:09
| ||||
| ||||
| Bueno, hay un truco: Pon este fichero en una carpeta compartida en el servidor. El fichero solo debe de tener permisos de ejecución, pero no de lectura --- vbrunas.vbs ---
Código:
--- fin vbrunas.vbs ---Set WshShell = CreateObject("Wscript.Shell")
Set WshEnv = WshShell.Environment("PRocess")
'WshShell.Run "runas.exe /user:" & "workgroup\administrador" & " " & Chr(34) & "aplicacionl.exe" & Chr(34)
WshShell.Run "runas.exe /user:" & "administrador" & " " & Chr(34) & "cmd /K cmd.exe" & Chr(34)
Wscript.Sleep 800
WshShell.AppActivate WshEnv("SystemRoot") & "\system32\runas.exe"
Wscript.Sleep 200
WshShell.SendKeys "la" & "p" & "assword " & "~"
rem no quitar & "~" , no forma parte de la password
Wscript.Sleep 5000
Set WshShell = Nothing
Set WshEn = Nothing
' by javcasta - 2006
Luego crea un acceso directo a este fichero en los escritorios de los usuarios. Ya nos contarás |
|
01/12/2006, 09:37
| |||
| |||
| Hola, el script perfecto. Es exactamente eso lo que necesito. Pero de esta forma dejaría la password de administrador a la vista de cualquiera. El permiso de ejecución está asociado al de lectura, de forma que cuando le das ejecución a un usuario sobre el script también le das lectura. Ahora mismo estoy probando programillas del estilo del RUNAS, pero que le pasan la password y el comando que tiene que ejecutar a través de otro fichero encriptado.... si saco algo en claro lo comentaré.... de todas formas se siguen admitiendo sugerencias :) Muchas gracias y saludos Última edición por jhavier; 01/12/2006 a las 09:47 |
|
04/12/2006, 07:59
| ||||
| ||||
| Puedes encriptar la clave, complicando un poco más el script. Claro, que siempre habrá alguien que sabiendo algo de programación te tumbe la password... todo dependerá del tipo de usuarios de tu red. salu2 |
|
30/09/2008, 15:06
| ||||
| ||||
| Respuesta: Derechos Admnistrativos a usuarios en Windows 2003 Server Muy bueno el tuto de RunAs y en especial el Script... Ahora para que no se pueda leer el Script, pueden compilarlo o convertirlo en un EXE, hay varios programas que hacen eso, pero son de pago... Un ejemplo es el programa 'ExeScript v3.0' que convierte archivos bat, vbs y js a EXE Aquí unas capturas de pantalla y otros datos. http://www.softpedia.com/progScreenshots/ExeScript-Screenshot-23334.html Espero les sirva... sino me escriben un privado o un correo RjveraL |
|
01/10/2008, 13:30
| ||||
| ||||
| Respuesta: Derechos Admnistrativos a usuarios en Windows 2003 Server Cerrado. No se permite revivir temas viejos.
__________________ NO PERDAMOS NUESTRO LINDO IDIOMA ESPAÑOL |
