Social Icons

twitter facebook google plus linkedin

domingo, 17 de julio de 2016

Cuentas con privilegios locales en productos de System Center

Hola Mundo:

Los productos de System Center están orientados, principalmente, a la administración. Por lo tanto,
es necesario que estas herramientas tengan los privilegios adecuados, ni más ni menos, para poder realizar operaciones propias de la administración con ellas.

Es el caso de System Center Operations Manager en el que la plataforma debe tener acceso  a la máquina que será monitoreada para la instalación del agente, ya sea en cualquier plataforma, o bien, para la ejecución de procesos propios del monitoreo. Esta cuentas son las Action Account y RunAs Accounts. También existen otras cuentas de mantenimiento que no serán tocadas en este artículo.

Por su parte, System Center Configuration Manager, tiene que ser capaz de realizar la instalación del agente, Client Push Installation Account, o poder subir a la máquina al dominio, en caso de estar ejecutando un Task Sequence de distribución de sistemas operativos que incluya esa tarea.

En muchos casos, también se debe configurar una cuenta para que la máquina pueda acceder a los recursos en red para la obtención de un paquete. En los dos últimos casos, esta cuenta se llama Network Access Account.

Es una muy buena práctica y altamente recomendado que las cuentas a configurar no tengan privilegios sobre el dominio. Solo deben poder autenticarse. Es un riesgo innecesario que las cuentas tengan privilegios de administrador de dominio. 

La creación de una cuenta que tenga permisos de administración local de las máquinas administradas no es proceso distinto a como cuando se crea una cuenta de usuario en Active Directory.  
Lo que si es necesario es la configuración de una política de dominio para que esta cuenta se miembro del  grupo de administradores de la máquina.

Para crear esta política ir a la herramienta de administración de políticas de grupo (se requiere permisos sobre el dominio para llevar a cabo esta acción). Idealmente, esta cuenta no debe expirar. En el caso de cambio de contraseña, actualizar las configuraciones realizadas en la plataforma.

Crear una nueva política y asignarle un nombre descriptivo.


En el editor de políticas, navegar hacia: Computer Configuration -> Preferences -> Control Panel Settings -> Local Users and Groups


Crear una nueva definición de grupo. Tener muy en cuenta que la acción Update no quitará los otros miembros que ya forman parte del grupo de administradores local de las máquinas. El ámbito de esta configuración solo aplica a nivel local de las máquinas clientes.
En el combo box se debe seleccionar el grupo Administrators (built-in)

En la última porción del cuadro, se debe agregar los miembros. Aquí es donde se agrega la cuenta que se creó para este propósito. La acción debe ser  Add to this group.


Así se verá el cuadro una vez que se hayan realizado las configuraciones necesarias

Dándole OK a todos los cuadros, la política queda lista para ser enlazada a una OU de computadores y las cuentas listas para ser configuradas.
Sobre los detalles de cuentas de SCCM y SCOM visitar los enlaces:


Espero que sea de su utilidad.