Eliminar usuarios del grupo de administradores locales mediante la directiva de grupo

En esta guía, le mostraré cómo eliminar usuarios de un grupo de administradores locales mediante la directiva de grupo.

También le mostraré cómo agregar usuarios o grupos a un grupo de administración local.

Con la directiva de grupo, puede obtener control sobre los derechos de administrador y asegurarse de que no se agregue una cuenta no deseada al grupo de administradores locales.

Lo que aprenderás en esta guía:

Índice

Por qué los derechos de administrador local son un gran riesgo para la seguridad

No desea que sus usuarios inicien sesión en su ordenador y obtengan privilegios de administrador diarios. El uso de derechos de administrador es el método principal que utilizan los atacantes para distribuir y obtener el control de los sistemas dentro de una organización.

Escenario 1: Un usuario inició sesión en su ordenador con privilegios de administrador, esta persona fue engañada y abrió un correo electrónico que contenía un archivo adjunto malicioso. Este archivo adjunto contiene código ejecutable y se ejecuta en un ordenador. Dado que el usuario inicia sesión con privilegios de administrador, este código malicioso tiene todos los derechos en el ordenador, puede instalar keylogger, sniffer, ejecutar ransomware y cifrar todos los archivos, instalar software de control remoto, etc. No es bueno.

Escenario 2: Alguien... tal vez un técnico de soporte creó un usuario local en varias ordenadores con la misma contraseña y lo agregó al grupo de administradores locales. Si un atacante descifra esta contraseña, obtendrá acceso de administrador a todas las máquinas en las que se crea esta cuenta. Luego, un atacante puede pasar de un sistema a otro, arrojar archivos maliciosos, robar datos, etc.

Ambos escenarios se pueden mitigar al obtener control sobre sus grupos locales de administradores. Ahora... Pasemos al libro de texto.

Crear un informe para usuarios con privilegios de administrador local

Es importante ejecutar primero el informe en todas los ordenadores para averiguar quién tiene derechos de administrador local. Luego, revise este informe con los empleados para analizar por qué estos usuarios o grupos tienen derechos de administrador local en sus equipos. El siguiente paso será obtener permiso para eliminar a estos usuarios.

Pasé por este proceso con grandes organizaciones y la gente se enfada mucho cuando les quitas los derechos de administrador. Además, todo se puede romper. Le recomiendo encarecidamente que informe estos cambios y reciba la aprobación adecuada.

Para obtener el informe, puede usar la herramienta de administración de grupos locales con el kit de herramientas AD Pro.

Aquí están los pasos:

1. Descargue e instale el kit de herramientas; puede descargar una versión de prueba gratuita aquí.
2. Abra el kit de herramientas -> Administrar grupos locales
3. Seleccione Opciones de búsqueda (Seleccione todo el dominio o OU/Grupo)
4. Haga clic en Ejecutar

Una vez lanzado, puede ordenar y filtrar cualquier columna. Puede exportar este informe a CSV para su registro. Es una buena idea compartir este informe con los empleados para que sepan quién tiene derechos de administrador y quién será eliminado.

Cómo eliminar usuarios de un grupo local de administradores con directiva de grupo

Primero, revisemos el ordenador y veamos qué cuentas están en el grupo de Administradores locales. Esto se puede hacer fácilmente con el siguiente comando de PowerShell.

Get-LocalGroupMember administrators

Puede ver en la captura de pantalla que hay varios usuarios locales y de dominio en el grupo Administradores.

Esto es malo.

Con la política de grupo, no solo puedo eliminar estas cuentas, sino también controlar qué cuentas o grupos de usuarios son miembros de ese grupo. Si alguien intentara agregar manualmente un usuario a este grupo, la política de grupo lo anularía.

Me gusta poner todas los ordenadores en una unidad organizativa, esto facilita la aplicación de la Política de grupo a las cuentas de los ordenadores.

Paso 1. Haga clic con el botón derecho en la unidad organizativa a la que desea aplicar el GPO y seleccione "Crear un GPO en este dominio y vincularlo aquí".

Paso 2. Llame al GPO y haga clic en Aceptar

Ahora necesita editar el GPO.

Paso 3. Haga clic derecho en el GPO y haga clic en editar

Etapa 4. Vaya a la siguiente configuración de GPO

Configuración del ordenador -> Configuración -> Configuración del panel de control -> Usuarios y grupos locales

Ahora haga clic derecho en el panel derecho y seleccione Nuevo -> Grupo local

Ajustes:

Acción: Actualizar
Nombre del grupo: Administradores (integrado)

Eliminar todos los usuarios miembros: Sí
Eliminar todos los grupos de miembros: Sí

Miembros: haga clic en Agregar y seleccione los miembros que desea agregar al grupo de administradores locales. Probablemente desee mantener una cuenta de administrador local y un grupo de administradores de dominio como administradores locales... pero depende totalmente de usted.

Captura de pantalla de mi configuración

La configuración anterior eliminará todos los usuarios y grupos y luego agregará los usuarios definidos en el campo de miembro. Esto borrará todas las cuentas no deseadas y agregará solo las cuentas que desee al grupo de administradores locales.

Consultar política de grupo

Ahora que el GPO está configurado y vinculado a una unidad organizativa, vamos a comprobarlo.

En PC1, ejecutaré el siguiente comando para actualizar a la fuerza la política de grupo.

gpupdate /force

Después de completar el equipo, volveré a verificar la membresía del grupo.

¡Increíble!

Puede ver en la captura de pantalla que las cuentas no deseadas se han eliminado del grupo Administradores. El GPO eliminó la cuenta robert.allen, admin2 de FIG. Luego agregó un grupo de administradores de dominio, un grupo IT_Wrk_Admin y una cuenta de administrador local.

Cualquier ordenador a la que aplique esta política recibirá esta configuración de ajuste. Si elige eliminar todas las cuentas de usuarios y grupos, elimina esas cuentas del grupo de administradores locales. Te recomiendo que revises esto antes de lanzar.

Excluir equipos de la política de GPO

Si necesita excluir su ordenador de esta política, siga estos pasos:

Desfile: Hay muchos programas mal codificados que no se ejecutan sin otorgar a los usuarios derechos de administrador. Si puede evitar estos programas, hágalo. Es curioso que todavía haya empresas que venden software que no puede funcionar con derechos de administrador... intenta evitar esos programas de nuevo. Si no puede, busque programas de privilegios, por ejemplo Más allá de la confianza y Paquete de pólizas. Estos programas le permiten configurar programas para que se ejecuten sin otorgar a los usuarios derechos de administrador.

Paso 1. Cree un nuevo grupo de directorios activos. Llámalo como quieras.

Paso 2. Agregue la cuenta de ordenador que desea excluir a este grupo.

Paso 3. En la Consola de administración de directivas de grupo, seleccione el GPO que creó y seleccione la pestaña Delegación.

Ahora haga clic en la pestaña Extras

Haga clic en Agregar y seleccione el grupo que acaba de crear.

Ahora asegúrese de que este grupo tenga solo los siguientes permisos:

Leer: Permitir
Aplicar política de grupo: rechazar

Esto evitará que cualquier miembro de este grupo aplique GPO. Este es un enfoque muy simple para excluir equipos del uso de este GPO. También facilita la administración, si desea saber quién está excluido del GPO, simplemente puede verificar los miembros del grupo AD.

Ahora me aseguro de que el ordenador esté apagada usando el comando gpresult.

Para ver todos los GPO que se aplican a su ordenador y usuario, ingrese este comando.

gpresult /r

Debe ser administrador en el ordenador para obtener los resultados de trabajar con el ordenador.

Puede ver que el GPO "Equipo GPO - Miembros del grupo de administradores locales" se ha aplicado a este equipo. Reinicio el ordenador y ejecuto el comando nuevamente. Después de reiniciar, ya no tengo que ver que GPO se aplica a esta ordenador porque se le niega el uso.

Ejecuto gpresult / r de nuevo

Puede ver que el GPO ya no es aplicable a esta ordenador.

Desfile: Primero debe verificar los derechos de los usuarios y comprender por qué tienen derechos de administrador. No desea habilitar esta política en todas los ordenadores sin antes probar y comprender su impacto. Desafortunadamente, hay programas que aún requieren derechos elevados, y hacer cumplir esta política puede fallar y evitar que los programas se ejecuten.

Puede usar la herramienta de administración de grupos locales para crear fácilmente un informe y exportarlo a un archivo CSV.

Si tiene alguna pregunta, hágala en la sección de comentarios a continuación.

Artículos de interés

Subir