¿Cómo configuro la gestión de usuarios y grupos locales en Applivery?

Ve a Políticas en el panel de Applivery, selecciona una política y agrega una configuración de "Usuarios y Grupos Locales". Usarás una plantilla XML para definir las acciones de grupo y los miembros.

¿Cuáles son las acciones disponibles para gestionar la membresía de grupos en Applivery?

Puedes usar "U" (Actualizar) para modificar miembros específicos, o "R" (Reemplazar) para borrar todos los miembros actuales y reemplazarlos por los definidos en la configuración XML.

¿Cómo puedo garantizar una gestión consistente del grupo administradores en diferentes idiomas de SO?

Para evitar problemas de localización, identifica el grupo de administradores por su SID conocido "S-1-5-32-544" en lugar de su nombre, que varía según el idioma del sistema operativo.

¿Puedo degradar a un usuario de administrador a usuario estándar con Applivery?

Sí, configura un único XML con dos bloques: uno para eliminar al usuario del grupo de administradores (S-1-5-32-544) y otro para agregarlo al grupo de usuarios (S-1-5-32-545).

¿Cuál es una limitación clave al gestionar la cuenta integrada de administrador de Windows?

La cuenta integrada de administrador de Windows no puede eliminarse del grupo de administradores debido a la aplicación a nivel del SO. Incluye siempre al menos un administrador con nombre en tu configuración.

¿Qué significa el error PutOrAddCommandFailedBecauseTargetAlreadyExists?

Este error indica que Windows intentó agregar un usuario que ya se considera miembro (directa o implícitamente). No significa necesariamente que la política haya fallado; verifica la membresía del grupo directamente en el dispositivo.

Gestionar el grupo de administradores locales de Windows con Applivery

Q: ¿Cuál es el papel de Applivery en la gestión de administradores locales?

Applivery permite la gestión centralizada del grupo de administradores locales en todos los dispositivos Windows inscritos aplicando una configuración de política, permitiendo a TI agregar o eliminar usuarios/grupos automáticamente.

Q: ¿Cómo verifico si una política de usuarios y grupos locales se aplicó correctamente?

Abre el Visor de Eventos (eventvwr.exe), dirígete a "Registros de aplicaciones y servicios → Microsoft → Windows → DeviceManagement-Enterprise- Diagnostics-Provider → Admin" y busca LocalUsersAndGroups.

Gestionar el grupo de administradores locales es esencial para mantener la seguridad y el control operativo sobre los dispositivos Windows. Conceder acceso administrativo solo a usuarios o cuentas de servicio de confianza ayuda a evitar cambios no autorizados, limita la superficie de ataque y garantiza el cumplimiento de las políticas organizativas.

Con Applivery, puedes gestionar de forma centralizada el grupo de administradores locales en todos los dispositivos Windows inscritos aplicando una configuración de política. Esto permite a los administradores de TI agregar o eliminar usuarios o grupos específicos del grupo de administradores locales en toda la flota de dispositivos — de forma automática y consistente.

Note

La política de grupo que usaremos puede gestionar varios grupos locales; sin embargo, este artículo se centra específicamente en la gestión del grupo de Administradores Locales.

Usuarios y grupos locales

En el panel de Applivery, dirígete a Políticas 1. Elige la política en la que quieres crear un usuario admin.

A continuación, en el menú de la izquierda, selecciona + Añadir configuración 2 y busca Usuarios y Grupos Locales 3.

Usaremos la siguiente plantilla:

<GroupConfiguration>
  <accessgroup desc = "">
    <group action = ""/>
    <add member = ""/>
    <remove member = ""/>
  </accessgroup>
</GroupConfiguration>

Aquí tienes un desglose de los elementos XML:

<GroupConfiguration>: Incluye toda la configuración de gestión de grupos.
<accessgroup desc="">: Define el grupo local que quieres gestionar (por ejemplo, Administradores).
<group action=""/>: Especifica cómo se debe gestionar la membresía del grupo:
- U = Actualizar: Modifica el grupo agregando o eliminando solo los miembros especificados. Los miembros existentes no mencionados permanecerán sin cambios.
- R = Reemplazar: Borra todos los miembros actuales y los reemplaza por los definidos. Usa solo <add member=""/> con esta acción.
<add member=""/>: Agrega un usuario o grupo al grupo de acceso especificado.
<remove member=""/>: Elimina un usuario o grupo del grupo de acceso especificado.

Warning

Esta configuración no crea nuevos usuarios o grupos; solo gestiona los que ya existen en el dispositivo.

Ejemplo de gestión del grupo de Administradores

En este ejemplo, nuestro objetivo es reemplazar todos los miembros actuales del grupo local de Administradores solo con los usuarios definidos explícitamente en la configuración XML.

Estado actual del grupo

El grupo de Administradores existente contiene tres usuarios.

Grupo objetivo

Definimos el grupo que queremos gestionar — en este caso, el grupo de Administradores. Esto puede identificarse de dos formas:

Por nombre: Usa Administrators si todos tus dispositivos comparten el mismo idioma del SO.
Por SID: Usa el SID conocido S-1-5-32-544 para evitar problemas de localización, ya que el nombre del grupo varía según el idioma del sistema operativo.

Acción de grupo – Reemplazar

Usamos la acción R (Reemplazar) en el nodo <group>. Esto eliminará todos los miembros actuales del grupo y los reemplazará por los definidos en el XML.

Definir miembros

Usa <add member=""/> para especificar los usuarios o grupos que quieres incluir.

En este caso, queremos que solo Administrator y Applivery permanezcan en el grupo.

Resultado

Una vez desplegado, el grupo de Administradores contendrá solo los usuarios definidos en el XML. Todos los demás serán eliminados.

Note

Si estás gestionando la cuenta de Administrador integrada, recuerda que su nombre también varía según el idioma del SO. Para evitar inconsistencias, puedes renombrarlo en todos los dispositivos usando el ajuste Cuentas: Cambiar nombre de cuenta Administrador en la política de grupo Opciones de Seguridad de Directivas Locales.

Degradar usuarios de administrador a estándar

Un escenario de cumplimiento habitual — por ejemplo, para cumplir los requisitos de ISO 27001 — es mover usuarios del grupo de Administradores al grupo de Usuarios estándar. Cuando Windows degrada a un usuario de Administrador a estándar, no lo agrega automáticamente al grupo de Usuarios, dejando al usuario sin membresía de grupo e incapaz de acceder al dispositivo.

Para gestionar ambas acciones a la vez, configura un único XML con dos bloques — uno para eliminar al usuario de Administradores (S-1-5-32-544) y otro para agregarlo a Usuarios (S-1-5-32-545):

<GroupConfiguration>
  <accessgroup desc="S-1-5-32-544">
    <group action="U"/>
    <remove member="ExactUsername"/>
    <add member="BackupAdminName"/>
  </accessgroup>
  <accessgroup desc="S-1-5-32-545">
    <group action="U"/>
    <add member="ExactUsername"/>
  </accessgroup>
</GroupConfiguration>

Reemplaza ExactUsername con el nombre de usuario exactamente como aparece en el dispositivo, y BackupAdminName con la cuenta de administrador de respaldo de tu organización.

Warning

La cuenta integrada de Administrador de Windows no puede eliminarse del grupo de Administradores — esto se aplica a nivel del SO. Incluye siempre al menos un administrador con nombre en la línea <add member> del bloque de Administradores para evitar este error.

Note

Puedes usar member="*" para apuntar al usuario que ha iniciado sesión actualmente en lugar de un nombre de usuario específico. Si * no produce el resultado esperado, reemplázalo con el nombre de usuario exacto tal como aparece en el dispositivo.

Warning

Solo puede haber una configuración XML de usuarios y grupos locales activa por dispositivo. Si necesitas gestionar varios grupos, incluye todos los bloques <accessgroup> dentro del mismo elemento <GroupConfiguration> — nunca apliques dos políticas separadas al mismo dispositivo.

Resolución de problemas

Verificar que la política se aplicó correctamente

Para comprobar si la configuración se aplicó en un dispositivo, abre el Visor de Eventos (eventvwr.exe), dirígete a Registros de aplicaciones y servicios → Microsoft → Windows → DeviceManagement-Enterprise-Diagnostics-Provider → Admin y busca LocalUsersAndGroups.

PutOrAddCommandFailedBecauseTargetAlreadyExists

Warning

Este error no significa necesariamente que la política haya fallado. Aparece cuando Windows intenta agregar un usuario que ya se considera miembro de ese grupo — directa o implícitamente. Por ejemplo, los miembros del grupo de Administradores heredan los permisos del grupo de Usuarios a nivel del SO, por lo que Windows puede reportar este error aunque el usuario no esté incluido explícitamente en el grupo de Usuarios.

Para confirmar si la configuración se ha aplicado correctamente, verifica la membresía del grupo directamente en el dispositivo a través de Administración de equipos → Usuarios y grupos locales → Grupos.