La gestión del grupo de Administradores locales es fundamental para mantener la seguridad y el control operativo sobre los dispositivos Windows. Conceder acceso administrativo únicamente a usuarios o cuentas de servicio de confianza ayuda a prevenir cambios no autorizados, reduce la superficie de ataque y garantiza el cumplimiento de las políticas organizativas.
Con Applivery, puedes gestionar de forma centralizada el grupo de Administradores locales en todos los dispositivos Windows inscritos aplicando una configuración de política. Esto permite a los administradores de TI añadir o eliminar usuarios o grupos específicos del grupo local de administradores en toda la flota de dispositivos, de forma automática y consistente.
Usuarios locales y grupos #
Una vez en el panel de control de Applivery, dirígete a la sección Gestión de Dispositivos y selecciona Políticas (1). Selecciona la política en la que deseas crear un usuario administrador.
A continuación, en el menú lateral izquierdo, selecciona + Añadir configuración (2) y busca Local Users and Groups (3).
Utilizaremos la siguiente plantilla:
<GroupConfiguration>
<accessgroup desc = "">
<group action = ""/>
<add member = ""/>
<remove member = ""/>
</accessgroup>
</GroupConfiguration>
<GroupConfiguration>: Engloba toda la configuración de gestión del grupo.<accessgroup desc="">: Define el grupo local que deseas gestionar (por ejemplo, Administrators).<group action=""/>: Especifica cómo se gestionará la pertenencia al grupo:- U = Update (Actualizar): Modifica el grupo añadiendo o eliminando únicamente los miembros especificados. Los miembros existentes que no se mencionen permanecerán sin cambios.
- R = Replace (Reemplazar): Elimina todos los miembros actuales y los sustituye por los definidos. Con esta acción solo debe utilizarse
<add member=""/>.
- U = Update (Actualizar): Modifica el grupo añadiendo o eliminando únicamente los miembros especificados. Los miembros existentes que no se mencionen permanecerán sin cambios.
<add member=""/>: Añade un usuario o grupo al grupo de acceso especificado.<remove member=""/>: Elimina un usuario o grupo del grupo de acceso especificado.
Ejemplo de gestión del grupo Administrators #
En este ejemplo, el objetivo es reemplazar todos los miembros actuales del grupo local Administrators dejando únicamente los usuarios definidos explícitamente en la configuración XML.
- Estado actual del grupo:
El grupo Administrators contiene actualmente tres usuarios.
- Grupo objetivo:
Definimos el grupo que queremos gestionar, en este caso el grupo Administrators. Puede identificarse de dos formas:
- Por nombre: Utiliza Administrators si todos los dispositivos comparten el mismo idioma del sistema operativo.
- Por SID: Utiliza el SID conocido S-1-5-32-544 para evitar problemas de localización, ya que el nombre del grupo varía según el idioma del sistema operativo.
- Acción del grupo – Reemplazar
Utilizamos la acción R (Replace) en el nodo<group>. Esto eliminará todos los miembros actuales del grupo y los reemplazará por los definidos en el XML. - Definición de miembros:
Utiliza
<add member=""/>para especificar los usuarios o grupos que deseas incluir.En este caso, queremos que únicamente Administrator y Applivery permanezcan en el grupo.
- Resultado
Una vez desplegada la configuración, el grupo Administrators contendrá únicamente los usuarios definidos en el XML. Todos los demás serán eliminados.
