0 00:00:00,000 --> 00:00:05,000 Buenas tardes, vamos a ver cómo podemos delegar la administración de las 1 00:00:05,000 --> 00:00:10,000 directivas de grupo dentro de un dominio, ¿de acuerdo? Entonces parto de este 2 00:00:10,000 --> 00:00:17,000 Windows que veis, este es un Windows Server 2022, ¿de acuerdo? que lo tenemos aquí 3 00:00:21,000 --> 00:00:26,000 se llama Servidor01, el dominio cañaveral.local, ¿de acuerdo? con este IP 4 00:00:26,000 --> 00:00:29,000 pero ahora nos va a dar igual, para lo que queremos nos va a dar igual 5 00:00:29,000 --> 00:00:34,000 Entonces, ¿cuál es el objetivo de este vídeo? Pues ver cómo podemos coger a un 6 00:00:34,000 --> 00:00:37,000 grupo o a un usuario, a un grupo de usuarios, para delegarle la 7 00:00:37,000 --> 00:00:43,000 administración y que ellos puedan en este caso vincular o directivas de grupo 8 00:00:43,000 --> 00:00:48,000 o crearlas o incluso crear filtros WMI. Entonces para hacer este ejemplo voy a 9 00:00:48,000 --> 00:00:55,000 coger aquí en el departamento y vamos a crear aquí un grupo 10 00:00:55,000 --> 00:01:03,000 y va a ser grupo local, grupo global, perdón, y admin 11 00:01:03,000 --> 00:01:07,000 departamentos y vamos a meter aquí, yo que sé, a cada 12 00:01:07,000 --> 00:01:11,000 un usuario de cada uno de estos. Vamos a suponer que nosotros en cada 13 00:01:11,000 --> 00:01:16,000 departamento queremos tener un administrador y queremos delegar a los 14 00:01:16,000 --> 00:01:22,000 usuarios que pertenezcan a este grupo para que puedan o vincular GPOs dentro 15 00:01:22,000 --> 00:01:27,000 de sus unidades organizativas o que puedan crear GPOs o que puedan crear 16 00:01:27,000 --> 00:01:30,000 filtros. Ahora vamos a ir viendo los ejemplos. Entonces vamos a meter dentro 17 00:01:30,000 --> 00:01:34,000 de este grupo al primer usuario de cada uno, simplemente para hacer el ejemplo, ¿de 18 00:01:34,000 --> 00:01:41,000 acuerdo? Meto ahí tortilla y esto lo hago, le doy rápido el vídeo 19 00:01:53,000 --> 00:01:58,000 Vale, ya tenemos dentro del grupo este, tenemos a estos miembros, ¿de acuerdo? Que 20 00:01:58,000 --> 00:02:01,000 lo podríamos haber hecho desde aquí, pero bueno, me da igual. Entonces, ¿qué es lo que vamos a 21 00:02:01,000 --> 00:02:06,000 hacer? Yo ahora voy a simular que me voy a meter por ejemplo con, 22 00:02:06,000 --> 00:02:12,000 me voy a meter con itormenta y vamos a comprobar qué es lo que puede hacer. 23 00:02:12,000 --> 00:02:17,000 Imaginaros que en su ordenador se pueda conectar al dominio para administrar las 24 00:02:17,000 --> 00:02:20,000 directivas de grupo y qué es lo que puede y qué es lo que no puede hacer. 25 00:02:20,000 --> 00:02:24,000 Entonces, para que se pueda conectar y administrar remotamente las directivas 26 00:02:24,000 --> 00:02:27,000 de grupo, previamente me voy a ir al cliente, que el cliente es el que tenéis 27 00:02:27,000 --> 00:02:32,000 aquí, ¿de acuerdo? Es un Windows 10, que es este que tenéis aquí a mano izquierda. 28 00:02:32,000 --> 00:02:36,000 Entonces, lo primero que voy a hacer es me voy a meter con el usuario local y 29 00:02:36,000 --> 00:02:41,000 vamos a meter, vamos a instalar las características opcionales, en este caso 30 00:02:41,000 --> 00:02:44,000 son las que se llaman administración de directivas de grupo. Entonces nos vamos a 31 00:02:44,000 --> 00:02:47,000 meter con el usuario local 32 00:02:50,000 --> 00:03:00,000 y instalamos las herramientas administrativas. Las RSAP correspondiente a la de 33 00:03:00,000 --> 00:03:06,000 administración de directivas de grupo, si no recuerdo mal. Ahora la vemos. 34 00:03:08,000 --> 00:03:12,000 Nos vamos a Inicio, Configuración, 35 00:03:12,000 --> 00:03:19,000 Aplicaciones, Características opcionales, 36 00:03:21,000 --> 00:03:26,000 agregar una característica 37 00:03:29,000 --> 00:03:36,000 y buscamos aquí el que es RSAP 38 00:03:36,000 --> 00:03:41,000 Administración de acceso, aquí, ¿vale? Herramientas de administración de 39 00:03:41,000 --> 00:03:47,000 directiva de grupo. La seleccionamos y le damos a instalar, ¿de acuerdo? 40 00:03:47,000 --> 00:03:53,000 Este de aquí y la instalamos. Entonces ahora cuando se termine de 41 00:03:53,000 --> 00:03:57,000 instalar, nos vamos a meter como uno de los usuarios que tenemos dentro del grupo 42 00:03:57,000 --> 00:04:00,000 de admin, que era Itormenta creo que es. Entonces nos metemos con ese usuario y 43 00:04:00,000 --> 00:04:04,000 vamos a ver qué es lo que podemos, qué es lo que no podemos hacer. Entonces 44 00:04:04,000 --> 00:04:09,000 paro el vídeo ahora y cuando se haya instalado retomo el vídeo. 45 00:04:09,000 --> 00:04:16,000 Vale, ya lo tenemos instalado, pues ahora vamos a cerrar sesión del usuario 46 00:04:18,000 --> 00:04:23,000 y vamos a entrar con el usuario Itormenta 47 00:04:23,000 --> 00:04:29,000 que repito, le hemos metido dentro del grupo gg-admin-dptos 48 00:04:37,000 --> 00:04:40,000 Entonces buscamos aquí 49 00:04:40,000 --> 00:04:46,000 en herramientas administrativas y 50 00:04:46,000 --> 00:04:51,000 administración de directivas de grupo, este que veis aquí. 51 00:04:55,000 --> 00:04:58,000 Abrimos 52 00:04:59,000 --> 00:05:05,000 damos a dominios, caña veral y ahora aquí, por ejemplo, vamos a ver qué es lo que 53 00:05:05,000 --> 00:05:09,000 puede hacer aquí esta persona, el editor. El editor os recuerdo que pertenece al 54 00:05:09,000 --> 00:05:14,000 grupo gg, pero todavía no hemos hecho ninguna configuración. Entonces si yo me 55 00:05:14,000 --> 00:05:17,000 voy por ejemplo aquí a contabilidad y le digo botón derecho, veis que no me 56 00:05:17,000 --> 00:05:23,000 deja vincular en este caso una gpu ni crearla y lo mismo en cada una de estas 57 00:05:23,000 --> 00:05:27,000 unidades organizativas. ¿Por qué? Porque yo no he delegado nada a esta persona. 58 00:05:27,000 --> 00:05:32,000 Lo mismo si yo me voy aquí a objetos de directivas de grupo, 59 00:05:32,000 --> 00:05:37,000 me voy a este, imaginaros que yo quiero crear una directiva de grupo aquí, si yo 60 00:05:37,000 --> 00:05:42,000 le digo botón derecho, veis que no me deja crear una nueva gpu porque no le he 61 00:05:42,000 --> 00:05:47,000 delegado el control y lo mismo con los filtros. Si yo me voy aquí a filtros 62 00:05:47,000 --> 00:05:52,000 y le digo que quiero crear un nuevo filtro, pues veis que tampoco me deja. 63 00:05:52,000 --> 00:05:57,000 Entonces vamos a ver cómo puedo hacer esto dentro del servidor. Nos vamos al 64 00:05:57,000 --> 00:06:02,000 servidor, ahora me meto estoy en el servidor ¿de acuerdo? y vamos a delegar 65 00:06:02,000 --> 00:06:06,000 para que aquellos usuarios que pertenezcan a este grupo, pues que puedan 66 00:06:06,000 --> 00:06:10,000 hacer pues lo que nosotros queramos dentro de la directiva de grupo. Para 67 00:06:10,000 --> 00:06:14,000 ello abrimos la administración de directiva de grupo. Yo ya la he abierto 68 00:06:14,000 --> 00:06:19,000 ¿de acuerdo? pero si no, recordar que están dentro de herramientas y aquí 69 00:06:19,000 --> 00:06:24,000 administración de directiva de grupo. ¿de acuerdo? ya estamos dentro de la 70 00:06:24,000 --> 00:06:28,000 administración de directiva de grupo. Nos vamos a Cañaveral y vamos a ver, vamos a 71 00:06:28,000 --> 00:06:34,000 empezar por delegar para que cuando Aitor o cuando los usuarios que 72 00:06:34,000 --> 00:06:38,000 pertenezcan a ese grupo que hemos comentado en el departamento de 73 00:06:38,000 --> 00:06:43,000 contabilidad que puedan vincular una una gpu que nosotros hayamos creado. 74 00:06:43,000 --> 00:06:48,000 Por ejemplo, voy a crear de aquí una para hacer el ejemplo, voy a crear una 75 00:06:48,000 --> 00:06:53,000 nueva, pongo aquí prueba 1 76 00:06:53,000 --> 00:06:58,000 ¿de acuerdo? y ahora vamos a ir a la unidad, vamos a hacer el ejemplo con 77 00:06:58,000 --> 00:07:02,000 contabilidad. Nos vamos a la unidad organizativa contabilidad y yo no sé si 78 00:07:02,000 --> 00:07:06,000 veis que aquí en mano derecha me aparece una pestañita de delegación ¿de acuerdo? 79 00:07:06,000 --> 00:07:10,000 entonces hemos seleccionado esta de aquí y me interesa la pestañita 80 00:07:10,000 --> 00:07:16,000 delegación ¿de acuerdo? dentro de esta pestañita delegación es pues a qué 81 00:07:16,000 --> 00:07:22,000 grupo quiero delegar en este caso, el que pueda en este caso vincular pues 82 00:07:22,000 --> 00:07:27,000 entonces lo único que vamos a hacer que es le vamos a dar aquí a agregar y vamos 83 00:07:27,000 --> 00:07:34,000 a agregar el grupo gg-admin-dpto que hemos creado antes. Entonces le damos a 84 00:07:34,000 --> 00:07:44,000 agregar, añadimos aquí al gg-admin-dpto, le damos a aceptar 85 00:07:44,000 --> 00:07:48,000 y ahora me dice oye ¿qué es lo que quieres hacer? ¿quieres permitir que esta 86 00:07:48,000 --> 00:07:53,000 delegación se aplique solamente a este contenedor o quiere que se aplique a 87 00:07:53,000 --> 00:07:56,000 este contenedor y todos los contenedores secundarios que haya dentro? pues esto ya 88 00:07:56,000 --> 00:08:00,000 como queramos ¿vale? pues yo qué sé, le voy a decir aquí que a este y a todos los 89 00:08:00,000 --> 00:08:04,000 que haya por debajo de contabilidad si los hubiera ¿de acuerdo? le vamos a 90 00:08:04,000 --> 00:08:11,000 aceptar y fijaros que ya me aparece aquí que le vamos a delegar para que 91 00:08:11,000 --> 00:08:15,000 esta persona pueda vincular pues vamos a ver qué es lo que ha pasado si yo ahora 92 00:08:15,000 --> 00:08:20,000 me voy al cliente de windows 10, me voy al cliente, voy a refrescar 93 00:08:20,000 --> 00:08:25,000 le doy aquí ¿de acuerdo? simplemente para refrescar 94 00:08:25,000 --> 00:08:30,000 y si yo ahora me voy a contabilidad y le digo botón derecho ¿veis que de repente 95 00:08:30,000 --> 00:08:34,000 ahora sí que me aparece esto? para que lo veáis 96 00:08:37,000 --> 00:08:44,000 ¿lo veis? que me aparece vincular una gpu existente entonces eso es lo que le 97 00:08:44,000 --> 00:08:47,000 hemos dado si yo lo hago con informática no me tiene que aparecer 98 00:08:47,000 --> 00:08:50,000 porque solamente hemos delegado dentro de la unidad organizativa contabilidad 99 00:08:50,000 --> 00:08:54,000 de forma que si lo hago en informática botón derecho veis que no me deja nada 100 00:08:54,000 --> 00:08:57,000 en cambio en contabilidad sí, esta es la primera que hemos hecho entonces yo aquí 101 00:08:57,000 --> 00:09:01,000 le digo que quiero vincular esto de prueba y tirándome y ya lo tengo aquí 102 00:09:01,000 --> 00:09:05,000 esta es la primera delegación que hemos hecho segunda delegación que vamos a 103 00:09:05,000 --> 00:09:08,000 hacer ¿qué pasa si quiero permitir que pueda crear en este caso los filtros? 104 00:09:08,000 --> 00:09:15,000 pues hacemos lo mismo me voy al servidor me voy 105 00:09:15,000 --> 00:09:21,000 a filtros wmi me voy a la pestañita delegar y le doy al botón agregar para 106 00:09:21,000 --> 00:09:25,000 agregar el grupo lo mismo que hemos hecho antes ¿de acuerdo? vuelvo a repetir lo 107 00:09:25,000 --> 00:09:30,000 que hacemos seleccionamos el filtro wmi 108 00:09:30,000 --> 00:09:37,000 seleccionamos la pestañita delegación y agregamos en este caso 109 00:09:37,000 --> 00:09:42,000 el grupo al que queremos delegar que pueda crear filtros wmi le vamos a 110 00:09:42,000 --> 00:09:47,000 agregar seleccionamos nuestro grupo 111 00:09:48,000 --> 00:09:53,000 le vamos a aceptar y aquí me dice ¿qué permisos quiere darles? control total o 112 00:09:53,000 --> 00:09:56,000 creador propietario si yo le digo control total 113 00:09:56,000 --> 00:10:02,000 todos los usuarios de ese grupo van a poder editar modificar crear cualquier 114 00:10:02,000 --> 00:10:08,000 filtro wmi en cambio si le digo creador propietario solamente vamos a poder 115 00:10:08,000 --> 00:10:12,000 modificar o crear aquellos de los que nosotros seamos propietarios es decir lo 116 00:10:12,000 --> 00:10:16,000 que nosotros hemos creado ¿de acuerdo? entonces yo voy a decirle por ejemplo 117 00:10:16,000 --> 00:10:21,000 crea el creador propietario para decirle que solamente aquellos que cree son los 118 00:10:21,000 --> 00:10:26,000 que puede modificar le vamos a aceptar y ya nos aparece aquí ¿de acuerdo? 119 00:10:26,000 --> 00:10:31,000 entonces vamos a ver qué es lo que ha pasado dentro del cliente ¿de acuerdo? 120 00:10:31,000 --> 00:10:35,000 cuando se conecta editor nos vamos al cliente al windows 10 121 00:10:35,000 --> 00:10:39,000 refrescamos me voy a filtros y le di botón derecho y ves que ahora me 122 00:10:39,000 --> 00:10:45,000 aparece el nuevo entonces le voy a dar a nuevo vamos a crear aquí un filtro 123 00:10:45,000 --> 00:10:51,000 botón derecho nuevo y yo que sé filtro 124 00:10:51,000 --> 00:10:57,000 editor y le ponemos aquí un filtro cualquiera 125 00:11:00,000 --> 00:11:06,000 por ejemplo este ¿vale? le damos a aceptar le damos a aceptar y ya ha creado el 126 00:11:06,000 --> 00:11:11,000 filtro ¿de acuerdo? este filtro editor lo va a poder en este caso editar lo va a 127 00:11:11,000 --> 00:11:15,000 poder eliminar ¿de acuerdo? pero fijaros que si yo me voy al servidor me voy a 128 00:11:15,000 --> 00:11:18,000 entrar al servidor voy a crear aquí un filtro 129 00:11:18,000 --> 00:11:24,000 me voy aquí al filtro voy a refrescar un segundo 130 00:11:24,000 --> 00:11:29,000 y vamos a crear aquí uno nuevo y este lo voy a llamar 131 00:11:29,000 --> 00:11:35,000 filtro general 1 ¿de acuerdo? y aquí le vamos a agregar y ponemos 132 00:11:35,000 --> 00:11:40,000 pos mismo que antes me da igual ¿vale? en este vídeo esto me da igual le vamos a 133 00:11:40,000 --> 00:11:45,000 aguardar ¿de acuerdo? de forma que este filtro general no lo ha creado editor ¿verdad? 134 00:11:45,000 --> 00:11:52,000 si yo me voy al cliente estoy ahora en el cliente en el windows 10 refresco 135 00:11:54,000 --> 00:11:59,000 me voy aquí a filtro general si yo le digo botón derecho veis que no me deja 136 00:11:59,000 --> 00:12:02,000 editar 137 00:12:02,000 --> 00:12:06,000 es decir no me deja editar y si yo ahora intento eliminarlo lo voy a intentar 138 00:12:06,000 --> 00:12:12,000 eliminar le digo que sí ¿vale? me dice que no ¿de acuerdo? eso es lo que quiere 139 00:12:12,000 --> 00:12:15,000 decir lo de propietario si lo hubiese dicho control total me hubiese dejado 140 00:12:15,000 --> 00:12:20,000 perfectísimamente ¿de acuerdo? pues esto es lo que me queda pero me queda para 141 00:12:20,000 --> 00:12:24,000 terminar el que ¿qué pasa si yo por ejemplo quiero que esas personas de ese 142 00:12:24,000 --> 00:12:28,000 grupo también puedan crear gpus? si yo me voy aquí a objeto directiva botón 143 00:12:28,000 --> 00:12:32,000 derecho veis que no me deja hacer el nuevo pues vamos a hacer lo mismo pero 144 00:12:32,000 --> 00:12:38,000 con esta el de objeto de directiva de grupo nos vamos al servidor seleccionamos 145 00:12:38,000 --> 00:12:43,000 objeto de directivas me voy a la pestaña delegar y añadimos al grupo al que quiero 146 00:12:43,000 --> 00:12:49,000 delegar en este caso la posibilidad de que pueda crear gpus así que repito como 147 00:12:49,000 --> 00:12:56,000 antes seleccionamos objeto directiva de grupo me voy a la pestaña delegación 148 00:12:56,000 --> 00:13:02,000 ¿de acuerdo? y lo que hacemos es añadir el grupo al que quiero delegar el 149 00:13:02,000 --> 00:13:07,000 control de crear las gpus la añadimos 150 00:13:10,000 --> 00:13:15,000 le damos a aceptar y automáticamente ya lo tenemos 151 00:13:15,000 --> 00:13:20,000 vamos a ver si es verdad que esto no funciona nos vamos al cliente 152 00:13:20,000 --> 00:13:25,000 refrescamos aquí me voy a objeto directiva de grupo botón derecho y ves 153 00:13:25,000 --> 00:13:29,000 que ahora sí que me deja ¿vale? porque resulta que editor pertenece al grupo 154 00:13:29,000 --> 00:13:37,000 ggadmin de pto departamentos le digo que quiero crear una nueva ¿vale? y gpu1 155 00:13:37,000 --> 00:13:43,000 editor le digo aceptar y ya la tengo aquí creada ¿de acuerdo? simplemente para 156 00:13:43,000 --> 00:13:47,000 que veáis cómo puedo delegar no hasta ahora lo que hemos visto que es para 157 00:13:47,000 --> 00:13:51,000 gestionar las unidades organizativas usuarios etc etc sino que también puedo 158 00:13:51,000 --> 00:13:56,000 delegar la administración de las diferentes gpus de mi dominio 159 00:13:56,000 --> 00:14:00,000 pues esto es todo un saludo hasta luego