Foros del Web » Administración de Sistemas » Seguridad y redes »

Derechos Admnistrativos a usuarios en Windows 2003 Server

Estas en el tema de Derechos Admnistrativos a usuarios en Windows 2003 Server en el foro de Seguridad y redes en Foros del Web. Hola, quisiera darle a un usuario (o a un grupo) en Windows 2003 Server permisos para administrar el RAS y para hacer Scandisk y Defrag ...
  #1 (permalink)  
Antiguo 29/11/2006, 08:28
 
Fecha de Ingreso: septiembre-2004
Mensajes: 16
Antigüedad: 20 años, 1 mes
Puntos: 0
Derechos Admnistrativos a usuarios en Windows 2003 Server

Hola,

quisiera darle a un usuario (o a un grupo) en Windows 2003 Server permisos para administrar el RAS y para hacer Scandisk y Defrag de los discos del servidor.

Por diversos motivos no me interesa que el usuario (o el grupo) pertenezca al grupo administradores.

¿Alguien me puede dar alguna idea?

Muchas gracias y saludos.
  #2 (permalink)  
Antiguo 29/11/2006, 17:01
Avatar de johnix  
Fecha de Ingreso: junio-2006
Ubicación: México
Mensajes: 92
Antigüedad: 18 años, 5 meses
Puntos: 0
Si lo que te interesa es solamente darle acceso a esas tres aplicaciones puedes utilizar el comando runas el cual te permite que salves una contraseña de administrador al momento de ejecutar un aplicación, un ejemplo para tu caso seria el siguiente:

Usuario: Pedro
Tipo: Usuario normal
Aplicacion: Explorer
Carpeta: \Winnt

Puedes hacer un archivo por lotes o un acceso directo con esta linea

RunAs /user:dominio\administrador "%SystemRoot%\explorer.exe /e, \"c:\Winnt\""

puedes documentarte mas usando google u otro buscador.

Saludos
  #3 (permalink)  
Antiguo 30/11/2006, 03:14
 
Fecha de Ingreso: septiembre-2004
Mensajes: 16
Antigüedad: 20 años, 1 mes
Puntos: 0
Ya había pensado en utilizar el comando RUNAS, pero el problema es que hace falta introducir el password de administrador cuando se ejecuta el comando y no interesa que el usuario conozca ese password.

¿hay alguna forma de poner el password al introducir el comando y que el usuario no pueda verlo?

Gracias
  #4 (permalink)  
Antiguo 30/11/2006, 03:58
Avatar de dogduck  
Fecha de Ingreso: enero-2006
Ubicación: ¿Atlantida, Hesperides, Islas afortunadas?
Mensajes: 2.231
Antigüedad: 18 años, 10 meses
Puntos: 19
Si los pc clientes trabajan con XP Pro: Con la opción de runas /savedcred salvas el perfil y no hay que volver a introducir contraseña. Lo ejecuta el admdor una vez introduciendo la password y luego ya no hará falta volver a meter la password.
Cita:
USO DE RUNAS:

RUNAS [ [/no_perfil | /perfil] [/env] [/sólo_red] ]
/user:<nombre-usuariuo> programa

RUNAS [ [/no_perfil | /perfil] [/env] [/sólo_red] ]
/smartcard [/user:<nombre-usuario>] programa

/noprofile especifica que el perfil de usuario no debe cargarse.
Esto permite que las aplicaciones se carguen más rápidament
e, pero
puede ocasionar que algunas aplicaciones no se ejecuten corre
ctamente.
/profile especifica que el perfil de usuario debe cargarse.
Estos son los valores predeterminados.
/env para utilizar el entorno actual en lugar del de los
usuarios.
/netonly usar si los credenciales especificados son sólo
para acceso remoto.
/savedcred utilizar si las credenciales guardadas previamente
por el usuario.
Esta opción no está disponible en Windows XP Home Edition
y se omitirá.
/smartcard utilizar si las credenciales serán proporcionadas desde
una tarjeta inteligente.
/user <Nombredeusuario> debería estar en la forma de
USUARIO@DOMINIO o DOMINIO\USUARIO
program línea de comandos para EXE. Ver los siguientes ejemplos

Ejemplos:
> runas /noprofile /user:mi_equipo\administrador cmd
> runas /profile /env /user:mi_dominio\admin "mmc %windir%\system32\dsa.msc"
> runas /env /user:[email protected] "notepad \"mi archivo.txt\""

NOTA: Escriba la contraseña de usuario sólo cuando se le pida
NOTA: USER@DOMAIN no es compatible con /netonly.
NOTA: /profile no es compatible con /netonly.
salu2
  #5 (permalink)  
Antiguo 30/11/2006, 05:56
 
Fecha de Ingreso: septiembre-2004
Mensajes: 16
Antigüedad: 20 años, 1 mes
Puntos: 0
Hola,

ante todo muchas gracias por vuestra ayuda.

He probado lo que me dices y me he encontrado con un problemilla. Funciona como dices, una vez ejecutado el RUNAS con la opción /SAVECRED solamente hay que introducir una vez la contraseña de administrador. El problema es que cualquier otro comando que se ejecute con RUNAS y la opción /SAVECRED va a funcionar sin necesidad de introducir la contraseña.

Pongo un ejemplo:

si ejecuto:

runas /user:administrador /savecred cmd

me pide la contraseña de administrador y ejecuta cmd correctamente

si vuelvo a ejecutar el mismo comando, no pide la contraseña y se ejecuta el cmd (que es lo que se pretende)

pero si ejecuto, por ejemplo:

runas /user:administrador /savecred ping

también funciona y se ejecuta el ping sin pedirme la contraseña.

De esta forma le estaría dando la capacidad al usuario "no administrador" para que ejecute cualquier comando con privilegios administrativos....

Última edición por jhavier; 30/11/2006 a las 06:33
  #6 (permalink)  
Antiguo 30/11/2006, 09:09
Avatar de johnix  
Fecha de Ingreso: junio-2006
Ubicación: México
Mensajes: 92
Antigüedad: 18 años, 5 meses
Puntos: 0
Cita:
Iniciado por jhavier Ver Mensaje
Ya había pensado en utilizar el comando RUNAS, pero el problema es que hace falta introducir el password de administrador cuando se ejecuta el comando y no interesa que el usuario conozca ese password.

¿hay alguna forma de poner el password al introducir el comando y que el usuario no pueda verlo?

Gracias
asi es... utiliza la opcion /savecred para que te guarde el password.
  #7 (permalink)  
Antiguo 30/11/2006, 10:47
 
Fecha de Ingreso: septiembre-2004
Mensajes: 16
Antigüedad: 20 años, 1 mes
Puntos: 0
Hola,

ya he usado esa opción y me encuentro con el problema que detallo en el post anterior.
  #8 (permalink)  
Antiguo 30/11/2006, 11:09
Avatar de dogduck  
Fecha de Ingreso: enero-2006
Ubicación: ¿Atlantida, Hesperides, Islas afortunadas?
Mensajes: 2.231
Antigüedad: 18 años, 10 meses
Puntos: 19
Bueno, hay un truco:

Pon este fichero en una carpeta compartida en el servidor. El fichero solo debe de tener permisos de ejecución, pero no de lectura

--- vbrunas.vbs ---
Código:
Set WshShell = CreateObject("Wscript.Shell") 
Set WshEnv = WshShell.Environment("PRocess") 
'WshShell.Run "runas.exe /user:" & "workgroup\administrador" & " " & Chr(34) & "aplicacionl.exe" & Chr(34) 
WshShell.Run "runas.exe /user:" & "administrador" & " " & Chr(34) & "cmd /K cmd.exe" & Chr(34) 
Wscript.Sleep 800 
WshShell.AppActivate WshEnv("SystemRoot") & "\system32\runas.exe" 
Wscript.Sleep 200 
WshShell.SendKeys "la" & "p" & "assword " & "~" 
rem no quitar & "~" , no forma parte de la password
Wscript.Sleep 5000 
Set WshShell = Nothing 
Set WshEn = Nothing 
' by javcasta - 2006
--- fin vbrunas.vbs ---

Luego crea un acceso directo a este fichero en los escritorios de los usuarios.
Ya nos contarás
  #9 (permalink)  
Antiguo 01/12/2006, 09:37
 
Fecha de Ingreso: septiembre-2004
Mensajes: 16
Antigüedad: 20 años, 1 mes
Puntos: 0
Hola,

el script perfecto. Es exactamente eso lo que necesito. Pero de esta forma dejaría la password de administrador a la vista de cualquiera.

El permiso de ejecución está asociado al de lectura, de forma que cuando le das ejecución a un usuario sobre el script también le das lectura.

Ahora mismo estoy probando programillas del estilo del RUNAS, pero que le pasan la password y el comando que tiene que ejecutar a través de otro fichero encriptado.... si saco algo en claro lo comentaré.... de todas formas se siguen admitiendo sugerencias :)

Muchas gracias y saludos

Última edición por jhavier; 01/12/2006 a las 09:47
  #10 (permalink)  
Antiguo 04/12/2006, 07:59
Avatar de dogduck  
Fecha de Ingreso: enero-2006
Ubicación: ¿Atlantida, Hesperides, Islas afortunadas?
Mensajes: 2.231
Antigüedad: 18 años, 10 meses
Puntos: 19
Puedes encriptar la clave, complicando un poco más el script. Claro, que siempre habrá alguien que sabiendo algo de programación te tumbe la password... todo dependerá del tipo de usuarios de tu red.
salu2
  #11 (permalink)  
Antiguo 30/09/2008, 15:06
Avatar de RjveraL  
Fecha de Ingreso: junio-2007
Mensajes: 4
Antigüedad: 17 años, 5 meses
Puntos: 0
Respuesta: Derechos Admnistrativos a usuarios en Windows 2003 Server

Muy bueno el tuto de RunAs y en especial el Script...

Ahora para que no se pueda leer el Script, pueden compilarlo o convertirlo en un EXE, hay varios programas que hacen eso, pero son de pago...

Un ejemplo es el programa 'ExeScript v3.0' que convierte archivos bat, vbs y js a EXE

Aquí unas capturas de pantalla y otros datos.
http://www.softpedia.com/progScreenshots/ExeScript-Screenshot-23334.html

Espero les sirva... sino me escriben un privado o un correo

RjveraL
  #12 (permalink)  
Antiguo 01/10/2008, 13:30
Avatar de BrujoNic
Super Moderador
 
Fecha de Ingreso: noviembre-2001
Ubicación: Costa Rica/Nicaragua
Mensajes: 16.935
Antigüedad: 23 años
Puntos: 655
Respuesta: Derechos Admnistrativos a usuarios en Windows 2003 Server

Cerrado.

No se permite revivir temas viejos.
__________________
La tecnología está para ayudarnos. No comprendo el porqué con esa ayuda, la gente escribe TAN MAL.
NO PERDAMOS NUESTRO LINDO IDIOMA ESPAÑOL
Atención: Estás leyendo un tema que no tiene actividad desde hace más de 6 MESES, te recomendamos abrir un Nuevo tema en lugar de responder al actual.
Tema Cerrado




La zona horaria es GMT -6. Ahora son las 09:11.