Creo que lo que voy a explicar a continuación puede ser muy útil, tanto por motivos prácticos como de seguridad.
Haré lo siguiente:
- Poner en Enable el usuario administrador (por si está deshabilitado).
- Renombrar el usuario administrador por otro nombre no tan evidente.
- Añadir al grupo administradores locales un grupo de dominio de HelpDesk.
- Sacar todos los grupos y usuarios que estén en el grupo de administradores locales y dejar solo el administrador ya renombrado y el grupo de dominio de HelpDesk.
Haré lo siguiente:
- Poner en Enable el usuario administrador (por si está deshabilitado).
- Renombrar el usuario administrador por otro nombre no tan evidente.
- Añadir al grupo administradores locales un grupo de dominio de HelpDesk.
- Sacar todos los grupos y usuarios que estén en el grupo de administradores locales y dejar solo el administrador ya renombrado y el grupo de dominio de HelpDesk.
Aquí se me ocurren unos cuantos casos para sacar provecho a esta GPO:
CASO A:
En una organización el departamento de soporte o Help desk muchas veces necesita, por su trabajo, ser administrador local en todas las workstations. Con hacer esta GPO y asociarlo a las OU que queremos sería suficiente.
Añadir un usuario con privilegios administrativos para poder hacer rastreos o auditorias de seguridad.
CASO C:
Cambiar el nombre de administrador que viene por defecto en todas las máquinas por motivos de seguridad.
CASO D:
Tenemos un grupo de servidores que dan servicio a un aplicativo y los desarrolladores necesitan acceder.
CASO E:
Añadir un grupo de usuarios que hagan guardias.
etc ...
La GPO en cuestión es:
Para atenuar ataques y no facilitar el nombre de administador local por defecto que suele ser ADMINISTARDOR/ADMINISTRATOR una buena política es renombrarlo por uno no tan evidente.
Yo lo tengo así
En la primera línea esta la GPO de poner el Administrador en ENABLE. Con lo que solo toco GPO de Computadora
Pero sospecho que esta otra manera también funcionaría, en la que ya mezclo GPOs de usuario.
Ni mejor ni peor, diferente.
Desde hace un tiempo, por motivos de seguridad, Microsoft ha bloqueado que desde aquí se pueda cambiar la contraseña.
Esta GPO puede implementar poniendo que elimine cualquier otro usuario/grupo que no sea el que acabamos de poner.
Una herramienta que nos puede ayudar ha asegurar este trabajo podría ser:
GoN. Octubre 2015