Consultar los usuarios o grupos que tienen un determinado privilegio

Hace unos días, aprendimos a Asignar derechos a usuarios y grupos del dominio en Windows Server 2016 usando los grupos predeterminados. Sin embargo, existe otra forma de lograr que un usuario disponga de ciertos privilegios y es mediante las directivas de grupo.

En un próximo artículo aprenderemos a asignar un privilegio a un usuario mediante directivas de grupo, pero antes, en el artículo de hoy, aprenderemos a consultar los usuarios que tienen un determinado privilegio en este momento.

Como es habitual, la tarea la realizaremos desde el Administrador del servidor. Para abrirlo, comenzaremos por hacer clic sobre el botón Inicio.

… Y en el menú que aparece, elegimos el elemento Administrador del servidor.

Consultar-los-usuarios-que-tienen-un-determinado-privilegio-001

Cuando se abra la ventana del Administrador del servidor, haremos clic sobre el menú Herramientas.

… Y entre las opciones que aparecen, elegimos Administración de directivas de grupo.

Consultar-los-usuarios-que-tienen-un-determinado-privilegio-002

Cuando se abra la ventana Administración de directivas de grupo, desplegamos el árbol del panel izquierdo, hasta llegar al elemento Default Domain Controllers Policy (Política predeterminada de los controladores de dominio). En nuestro caso, desplegamos el elemento Bosque:somebooks.local > Dominios > somebooks.local > Objetos de directiva de grupo.

Finalmente, hacemos clic sobre la entrada Default Domain Controllers Policy.

Consultar-los-usuarios-que-tienen-un-determinado-privilegio-003

La configuración de seguridad mejorada de Internet Explorer puede activarse o desactivarse según el criterio del Administrador del sistema.

En el panel derecho, haremos clic sobre la solapa Configuración. Al hacerlo, probablemente suceda algo inesperado: Un mensaje de aviso de Internet Explorer que impide que se muestre el contenido de la solapa.

El motivo es que la Administración de directivas de grupo utiliza el motor de Internet Explorer para mostrar la información relacionada con la configuración de sus políticas. Además, en Windows Server, el navegador incluye una configuración de seguridad mejorada que bloquea, de forma predeterminada, el acceso a Internet (y, en general, a cualquier documento en formato web), para todos los usuarios del sistema, incluido el Administrador.

La solución para esta situación es tan sencilla como añadir la dirección del documento (en este caso about:security_mmc.exe) a la lista de excepciones.

Para lograrlo, comenzamos por hacer clic sobre el botón Agregar

Consultar-los-usuarios-que-tienen-un-determinado-privilegio-004

Esto hará que se muestre la ventana Sitios de confianza que incluirá en el cuadro de texto Agregar este sitio web a la zona de: el origen del documento que estamos tratando de consultar.

Para añadirlo a las excepciones basta con hacer clic sobre el botón Agregar.

Consultar-los-usuarios-que-tienen-un-determinado-privilegio-005

Observa que en la lista Sitios web: se encuentran recogidas todas las excepciones registradas hasta el momento.

Si desconfiáramos de un sitio que antes incluimos en la lista, podemos hacer clic sobre él y, después, sobre el botón Quitar.

Para mostrar en cualquier momento la ventana Sitios de confianza, podemos recurrir al menú Herramientas de Internet explorer y elegir Opciones de Internet.

Cuando hayamos terminado, hacemos clic sobre el botón Cerrar.

Consultar-los-usuarios-que-tienen-un-determinado-privilegio-006

Cuando por fin accedemos a la solapa Configuración, encontraremos de nuevo diferentes categorías ordenadas de forma jerárquica. En su interior, se incluyen los diferentes privilegios que podemos asignar dentro de Windows Server 2016. En nuestro caso, dentro de Directivas, nos dirigimos a Configuración de Windows y, dentro, a Configuración de seguridad.

Una vez ahí, desplegamos Directivas locales / Asignación de derechos de usuario.

Consultar-los-usuarios-que-tienen-un-determinado-privilegio-007

Cuando aparezcan los detalles, hacemos scroll hacia abajo, hasta localizar el privilegio que estamos buscando (en nuestro caso, Permitir el inicio de sesión local)

En la segunda columna encontramos a los usuarios o grupos que disponen de este privilegio.

Consultar-los-usuarios-que-tienen-un-determinado-privilegio-008

De este modo, comprobamos que, en estos momentos, únicamente pueden iniciar sesión de forma local en el servidor los miembros de los siguientes grupos:

  • Operadores de impresión.

  • Operadores de servidores.

  • Operadores de cuentas.

  • Operadores de copia de seguridad.

  • Administradores.

En un próximo artículo aprenderemos a utilizar las directivas de grupo para autorizar a un usuario cualquiera a iniciar sesión de forma local en el servidor.

Y con esto terminamos el artículo de hoy. Espero que te resulte útil.