1
00:00:00,150 --> 00:00:06,450
Qué pensarías si te dijera que un usuario normal sin ningún permiso administrador puede unir equipos

2
00:00:06,510 --> 00:00:08,580
al dominio en Windows Server.

3
00:00:08,610 --> 00:00:09,810
Sí sí se puede.

4
00:00:09,810 --> 00:00:16,380
En este caso si un usuario ha realizado el inicio de sesión por al menos una sola vez en el dominio

5
00:00:16,440 --> 00:00:21,900
este usuario va a poder unir equipos al dominio hasta 10 equipos al dominio sin ningún problema sin

6
00:00:21,900 --> 00:00:25,370
tener ningún privilegio de administrador de dominio ni nada de esto.

7
00:00:25,380 --> 00:00:31,770
Esto es un tema que puede decirse que es una brecha de seguridad pero en este caso Microsoft da esa

8
00:00:31,770 --> 00:00:37,440
posibilidad para que los usuarios puedan unir sus equipos en el dominio automáticamente o por su propia

9
00:00:37,440 --> 00:00:38,250
cuenta.

10
00:00:38,310 --> 00:00:43,800
Esto es nuestro dominio local puede podemos deshabilitar y podemos especificar que solamente los administradores

11
00:00:44,010 --> 00:00:48,330
tengan el derecho tengan la posibilidad de poder unir equipos al dominio.

12
00:00:48,390 --> 00:00:50,640
Vamos a hacer la prueba tengo este equipo aquí.

13
00:00:50,640 --> 00:00:51,930
Este equipo cliente.

14
00:00:52,050 --> 00:00:58,020
Esta máquina virtual que vamos a intentar unir nuestro equipo al dominio vemos que hace parte de un

15
00:00:58,380 --> 00:01:04,080
grupo de trabajo y en este caso se llama Click con 0 2 vamos a ver que yo tengo una cuenta de usuario

16
00:01:04,080 --> 00:01:05,760
por aquí en Nates Directory.

17
00:01:05,760 --> 00:01:10,860
Vemos aquí nuestra cuenta de usuario en la parte de sistemas que se llama Yair Gómez Jota Gómez y en

18
00:01:10,860 --> 00:01:16,620
este caso esta cuenta solamente hace parte de usuarios del dominio no tiene ningún privilegio de administrador.

19
00:01:16,740 --> 00:01:22,770
Esta cuenta ya ha iniciado sesión en el dominio tiene que hacer una cuenta que haga parte de los usuarios

20
00:01:22,780 --> 00:01:28,320
autenticado en el dominio o que haya iniciado sesión por al menos una sola vez en el dominio.

21
00:01:28,320 --> 00:01:33,930
Vamos a irnos al equipo cliente vamos a irnos activaciones más avanzadas y vamos a tratar de unir nuestro

22
00:01:33,930 --> 00:01:38,700
equipo el dominio con la cuenta Jota Gomís ok vamos a unirlo al dominio que se llama en este caso mi

23
00:01:38,700 --> 00:01:45,930
dominio con toso punto local y vamos a aceptar y vamos a unirlo al dominio con la cuenta Jota comienza

24
00:01:45,930 --> 00:01:50,090
esta cuenta no tiene ningún derecho ningún privilegio de administrador.

25
00:01:50,090 --> 00:01:52,710
Vamos a unirlo vamos a hacer password.

26
00:01:52,710 --> 00:02:00,110
En este caso vamos a darle aceptar y vamos a esperar que una nuestro equipo con esa cuenta.

27
00:02:00,300 --> 00:02:04,890
En ese caso nosotros podemos deshabilitar este tema y podemos indicar por medio de directivas de grupo

28
00:02:05,160 --> 00:02:11,010
que solamente los usuarios administradores de dominio puedan unir equipos al dominio entonces con eso

29
00:02:11,010 --> 00:02:16,710
vamos a quitarnos este tema de que cualquier usuario que esté autenticado en el dominio pueda unir equipos

30
00:02:17,070 --> 00:02:19,600
hasta 10 equipos puede unir.

31
00:02:19,680 --> 00:02:24,240
Vamos a esperar que termine aquí de unir nuestro equipo el dominio y vamos a reiniciarlo y vamos a ver

32
00:02:24,660 --> 00:02:30,900
cómo podemos nosotros a través de políticas de grupo definir vemos que Guala aquí lo tenemos se unió

33
00:02:31,080 --> 00:02:33,620
correctamente al dominio con todo apuntó local.

34
00:02:33,830 --> 00:02:41,790
Al aceptar a reiniciarlo y vamos a ver qué en nuestro equipo usuarios y equipos de directorio vamos

35
00:02:41,790 --> 00:02:47,790
a ver que vamos a actualizar aquí un poco vamos a ver qué nos va a aparecer clik con 02 ya unido al

36
00:02:47,790 --> 00:02:54,090
dominio con la cuenta que no es ni administradora no es ningún usuario administrador de dominio y en

37
00:02:54,090 --> 00:02:57,210
este caso es un usuario estándar un usuario normal.

38
00:02:57,210 --> 00:02:59,110
Cómo podemos evitar este tema.

39
00:02:59,130 --> 00:03:03,150
Esto lo vamos a hacer a través de políticas de grupo nos vamos a ir a la parte de administrador de directivas

40
00:03:03,150 --> 00:03:04,280
de grupo.

41
00:03:04,500 --> 00:03:09,480
Ustedes pueden utilizar las Domain impulso y pueden crear otra directiva de grupo yo utilizar el Domain

42
00:03:09,480 --> 00:03:15,090
Policy y lo que nos vamos a ir es a la configuración de equipo nos vamos a ir a la parte de directivas

43
00:03:15,090 --> 00:03:16,800
Configuración de Windows.

44
00:03:16,800 --> 00:03:23,190
Aquí la parte de configuración de seguridad nos vamos a ir a la parte de directivas locales y vamos

45
00:03:23,190 --> 00:03:28,440
a irnos a la parte de asignación de derechos de usuario aquí la parte de derechos de asignación de usuario.

46
00:03:28,440 --> 00:03:33,250
Nosotros tenemos una directiva que se llama agregar estaciones de trabajo al dominio.

47
00:03:33,360 --> 00:03:39,090
Por defecto vemos que no viene definida y en la explicación me dice que esta configuración de seguridad

48
00:03:39,090 --> 00:03:45,690
determina qué grupos o usuarios pueden agregar estaciones de trabajo al dominio en este caso me dice

49
00:03:45,690 --> 00:03:50,420
que esta configuración de seguridad sólo es válida en controladores de dominio de forma predeterminada

50
00:03:50,430 --> 00:03:54,180
cualquier usuario autenticado aquí lo tenemos.

51
00:03:54,180 --> 00:04:02,910
Vamos a marcarlo aquí bien en este tema me dice cualquier usuario y autenticado tiene este derecho y

52
00:04:02,910 --> 00:04:08,580
puede crear hasta diez cuentas de equipo en el dominio.

53
00:04:08,580 --> 00:04:15,840
Ustedes dirán por qué Microsoft no permite ese tema porque muchas veces los usuarios cuando son empresas

54
00:04:15,840 --> 00:04:21,350
muy grandes en este caso los usuarios pueden unir sus equipos ellos mismos al dominio.

55
00:04:21,420 --> 00:04:27,300
Entonces en este caso no vamos a tener que necesitar un intermediario o un administrador para que el

56
00:04:27,300 --> 00:04:31,650
equipo del dominio sino que automáticamente el usuario puede unir el equipo al dominio y esto lo vamos

57
00:04:31,650 --> 00:04:39,150
a hacer un tema de mejora en el tiempo de nuestros usuarios en este caso nosotros podemos deshabilitar

58
00:04:39,150 --> 00:04:45,840
este tema cómo configurando esta directiva o definiendo esta directiva y agregando el gura el grupo

59
00:04:45,840 --> 00:04:51,390
o usuarios que solamente queremos que unan equipos al dominio entonces aquí nosotros podemos agregar

60
00:04:51,390 --> 00:04:54,820
tanto usuarios de administradores como usuarios no administradores.

61
00:04:54,960 --> 00:05:02,040
Vamos a agregar por ejemplo los usuarios administradores de dominio los que solamente sean administradores

62
00:05:02,040 --> 00:05:08,730
que pertenezcan al grupo de administradores y nosotros vamos a definir que solamente este grupo sean

63
00:05:08,730 --> 00:05:15,570
los permitidos para poder unir equipos clientes a nuestro dominio entonces ya la directiva de quien

64
00:05:15,570 --> 00:05:21,930
nos dice que cualquier usuario que sea autenticado va a quedar abolida y que solamente los administradores

65
00:05:21,930 --> 00:05:27,540
de sistemas o los administradores de nuestro dominio vamos a poder unir equipos al cliente si tenemos

66
00:05:27,540 --> 00:05:32,730
un usuario de soporte un usuario que nos ayuda en el tema de la Unión de equipos al dominio y no queremos

67
00:05:32,730 --> 00:05:38,700
darle a ese usuario que tenga permisos de administrador pues aquí también podemos incluir a ese usuario

68
00:05:38,700 --> 00:05:44,370
normal y corriente para que nos ayude en el tema de unir equipos al dominio entonces vemos que es una

69
00:05:44,370 --> 00:05:50,610
cosa muy importante que debemos definir cuando instalamos o debemos configurar en nuestro dominio para

70
00:05:50,610 --> 00:05:57,030
tener una seguridad por ese lado porque de pronto llega un usuario con cualquier equipo Rhein en su

71
00:05:57,030 --> 00:06:02,100
mochila y lo une el dominio se conecta a la red o el dominio y puede realizar cualquier tema entonces

72
00:06:02,100 --> 00:06:08,160
esto puede ser un tema de seguridad bastante importante y debemos tenerlo y debemos definirlo en esta

73
00:06:08,160 --> 00:06:13,980
directiva que se llama agregar estaciones de trabajo al dominio y definimos el grupo o los usuarios

74
00:06:14,250 --> 00:06:18,050
que solamente van a tener permisos de agregar equipos al dominio.

75
00:06:18,210 --> 00:06:24,090
Entonces vemos que es muy importante este tema de directiva y definirlo una vez nosotros instalemos

76
00:06:24,390 --> 00:06:29,940
nuestros nuestro controlador de dominio donde ya configuramos el tema de directivas vamos a tener esta

77
00:06:29,940 --> 00:06:33,390
parte vamos a tener que configurar esta parte que es muy muy importante.