¿Desea obtener información sobre cómo usar una directiva de grupo para quitar administradores locales de los equipos de dominio? En este tutorial, vamos a mostrarle cómo crear una directiva de grupo para sobrescribir la configuración del grupo de administradores local en un equipo que ejecuta Windows.

• Windows 2012 R2
• Windows 2016
• Windows 2019
• Windows 10
• Windows 7

Lista de hardware:

En la siguiente sección se presenta la lista de equipos utilizados para crear este tutorial.

Cada pieza de hardware mencionada anteriormente se puede encontrar en el sitio web de Amazon.

Tutorial relacionado con Windows:

En esta página, ofrecemos acceso rápido a una lista de tutoriales relacionados con Windows.

Tutorial – Creación del GPO para sobrescribir a los administradores locales

En el controlador de dominio, cree un grupo de usuarios.

Windows group - LOCAL-ADMINS

Los miembros de este grupo se configurarán como administradores de todos los equipos del dominio.

GPO - manage local administrators

En el controlador de dominio, abra la herramienta de administración de directivas de grupo.

Cree una nueva directiva de grupo.

Escriba un nombre para la nueva directiva de grupo.

GPO - Add local administrators

En nuestro ejemplo, el nuevo GPO se nombró: LOCAL ADMINISTRATORS.

En la pantalla Administración de directivas de grupo, expanda la carpeta denominada Objetos de directiva de grupo.

Haga clic con el botón derecho en el nuevo objeto de directiva de grupo y seleccione la opción Editar.

GPO - Configure local administrators

En la pantalla del editor de directivas de grupo, expanda la carpeta Configuración del equipo y busque el siguiente elemento.

Copy to Clipboard

Haga clic con el botón derecho en los usuarios y grupos locales y seleccione la opción para agregar un grupo.

GPO - Remove local administrators

En la pantalla de configuración del grupo, utilice la siguiente configuración.

• Acción – Actualización.
• Nombre del grupo: seleccione el grupo de administradores locales.
• Eliminar todos los usuarios – Sí.
• Eliminar todos los grupos – Sí.

GPO - Remove local admins

En la parte inferior de la pantalla, haga clic en el botón Agregar.

• Agregue la cuenta de administrador local.
• Agregue el grupo de administradores de dominio.
• Agregue el grupo que creamos denominado LOCAL-ADMINS.

Haga clic en el botón Aceptar.

GPO - Local administrators remove

En nuestro ejemplo, se quitarán todos los miembros del grupo de administradores locales.

El GPO también agregará automáticamente los siguientes miembros al grupo de administradores locales:

• La cuenta de administrador local.
• El grupo de administradores de dominio.
• El grupo de Active Directory denominado LOCAL-ADMINS.

Para guardar la configuración de directiva de grupo, debe cerrar el editor de directivas de grupo.

¡Felicitaciones! Ha terminado la creación del GPO.

Tutorial – Aplicación del GPO para eliminar administradores locales

En la pantalla Administración de directivas de grupo, debe hacer clic con el botón derecho en la unidad organizativa deseada y seleccionar la opción para vincular un GPO existente.

En nuestro ejemplo, vamos a vincular la directiva de grupo denominada LOCAL ADMINISTRATORS a la raíz del dominio.

Group policy object - Local adminstrators

Después de aplicar el GPO es necesario esperar 10 o 20 minutos.

Durante este tiempo, el GPO se replicará en otros controladores de dominio.

Para probar la configuración, compruebe los miembros del grupo de administradores locales en un equipo remoto.

Aquí está el contenido del grupo de administradores locales, antes de nuestra configuración.

Remove local admin using gpo

Aquí está el contenido del grupo de administradores locales, después de aplicar el GPO.

Group policy - Remove local administrators

Enhorabuena, ha eliminado los administradores locales mediante un GPO.