GPO: Operadores de Red

Esto es algo que se había introducido en Windows XP, la posibilidad de que un usuario limitado pueda realizar cambios en la configuración de red del equipo. ?Esto es muy útil sobre todo cuando tienes usuarios itinerantes, se desplazan constamente y se pasan los días de cliente en cliente y de hotel en hotel. En muchas ocasiones surgirá la necesidad de tener que modificar algún parámetro de red: dirección IP, máscara de subred, DNS, etc… los usuarios del dominio o usuarios locales no tienen permiso para poder realizar este cambio, por lo que no podrán realizar cambio alguno. Desde el punto de vista operativo al usuario le resultará bastante molesto el no poder configurar sus parámetros de red, puesto que en algunas ocasiones necesitará especificar manualmente su dirección IP, raro, si,  pero sucede. Claro que está que si el usuario no tiene privilegios, lo que posiblemente hará será llamar a su CAu (Centro de Atención al Usuario) para que alguien le ayude con su problema, pero como el usuarion o tiene acceso a su portátil porque no tiene conexión, el problema es que el técnico le tendrá que facilitar la contraseña de administrador o de otro usuario con derechos adminsitrativos para realizar las modificaciones oportunas. Creo que  sobre esto no hay mucho que decir, NO DEBEMOS HACERLO. Sobre todo porque Microsoft desde Windows XP ha creado un grupo local de seguridad con el nombre: Operadores de configuración de red. Todos los miembros de este grupo tienen permisos para modificar los parámetros de red de sus conexiones:

• Modificar las propiedades de transmisión Control Protocol/Internet Protocol (TCP/IP) para una conexión de red de área local (LAN), que incluye la dirección IP, la máscara de subred, puerta de enlace predeterminada y los servidores de nombres
• Cambiar el nombre de las conexiones de LAN o conexiones de acceso remoto que están disponibles para todos los usuarios
• Habilitar o deshabilitar una conexión LAN
• Modificar las propiedades de todas las conexiones de acceso remoto del usuario.
• Eliminar todas las conexiones de acceso remoto del usuario
• Cambiar el nombre de todas las conexiones de acceso remoto del usuario
• Emitir comandos ipconfig /release, ipconfig /renew
• Introduce el PIN de clave de desbloqueo (PUK) para dispositivos de conexiones móviles

Si queremos que un usuario pueda modificar estos parámetros de red, debe pertenecer al grupo Operadores de configuración de red local del equipo. Si los equipos está unidos al dominio, vamos a ver como podemos añadir un grupo de seguridad del dominio al grupo Operadores de configuración de red local de los equipos. Para ello creamos una GPO y la editamos: Configuración del equipo – Preferencias – Configuración del Panel de Control – Usuarios y grupos locales – Nuevo Grupo Local

ahora agregamos el grupo GRP Usuarios Operadores de Red (grupo del dominio que contiene  usuarios que tendrán acceso a las configuraciones de red de los equipos) como miembro del grupo local de los equipos del dominio Operadores de configuración de red

Cuando se aplique la directiva todos los usuarios miembros del grupo GRP Usuarios Operadores de Red  tendrán acceso a configurar las conexiones de red de sus equipos. De esta forma no serán adminsitradores locales y mantendremos los niveles de seguridad basándos siempre en el mismo principio: MPP (Mínimo Privilegio Posible)

Espero que les sea de utilidad!!