lunes, 16 de julio de 2012

Cambiar configuracion TCP/IP con un usuario no Administrador

Mi amigo Mariano me consultó si me era posible ayudar a resolver el siguiente planteo:

"Hay muchos usuarios que trabajan como consultores en diferentes empresas, algunos necesitan cambiar la configuración TCP/IP de sus equipos cuando se conectan en las redes de las otras empresas, pero ninguno es administrador local de su equipo. ¿Se puede permitir a usuarios que no son administradores cambiar la configuración TCP/IP? ".

La respuesta fácil es "Si, se puede" pero me pareció más interesante dar la respuesta completa.

Para equipos con Windows 7, es posible incluir a los usuarios en el grupo "Network Configuration Operators", lo que les dará la posibilidad de cambiar las configuraciones de red pero sin la necesidad de ser administradores del equipo. Claro que para configurar muchos equipos, debemos utilizar GPOs. Comenzamos creando dos grupos de seguridad en nuestro AD (Figura 1). Uno de ellos lo usamos para administrar los usuarios que queremos que tengan derecho de cambiar la configuración de red y el otro para administrar los equipos sobre los cuales se va a poder realizar este cambio.


Figura 1

Luego creamos una GPO que configuramos para que actualice el grupo "Network configuation Operators (built-in)" con el grupo de usuarios que queremos que modifique la configuración de TCP/IP (Figura 2) (Computer Configuration-->Preferences-->Control Panel Settings-->Local Users and Groups).


Figura 2

En la GPO, cambiamos los Security Filtering (Figura 3) en donde quitamos "Authenticated Users" y agregamos al grupo de seguridad que incluye los equipos en donde queremos que se pueda realizar el cambio de configuración. Esta configuración, nos va a aplicar la GPO solo en esos equipos y no en todos los de la OU.


Figura 3

Cuando un usuario quiera cambiar la configuración TCP/IP de un equipo, el UAC va a pedir credenciales para poder hacer este cambio. Si el usuario y el equipo en donde está realizando la acción están incluidos en los grupos de seguridad que creamos previamente, solo debe introducir sus propias credenciales (Figura 4).


Figura 4

Realizar todas estas configuraciones es recomendable, que ya no queremos que todos los usuarios puedan cambiar la configuracion TCP/IP de cualquier equipo de la red. De igual manera tampoco queremos tener que realizar la configuración manualmente equipo por equipo.

Adicionalmente, podemos realizar otras restricciones sobre que pueden hacer los “Network Configuration Operators” (Figura 5) si no queremos, por ejemplo, que accedan a las configuraciones avanzadas de TCP/IP (User Configuration-->Policies-->Administrative Templates-->Network-->Network Connections).



3 comentarios:

edgar.her dijo...

Hola, gracias por el post,hice la misma configuración que indicas en server 2008 R2, pero no se aplican las directivas en la OU. Hay que hacer algo mas?

Esteban De Leo dijo...

edgar.her, yo mismo lo hice en un Windows Server 2008 R2 y Windows 7, pero unos 4 años después (Junio de 2016), Microsoft cambió en un update de seguridad como se aplican las políticas donde usas Security Filtering. En resumen "Authenticated Users" debe tener permisos de Read.
Te comparto un link donde lo explican

https://blogs.technet.microsoft.com/askds/2016/06/22/deploying-group-policy-security-update-ms16-072-kb3163622/

edgar.her dijo...

Al parecer era un problema de actualizaciones de server 2008 R2, y que tambien tengo que agregar a los equipos del dominio para que puedan aplicarse esas GPO por grupo.

Esa misma configuración se puede aplicar para restringir el acceso a USB, solicitando credenciales para acceder a los dispositivos de almacenamiento USB?

Saludos.!