Seguro que todos nos hemos encontrado con esas aplicaciones que requieren permisos de administrador sobre el equipo para funcionar, como pueden ser, por poner un ejemplo, Contaplus, o similares. Si tenemos puesto el foco en la seguridad, lo de andar dando permisos de administrador en las maquinas a los usuarios es una locura, de manera que lo correcto es determinar dónde requieren dichas aplicaciones esos permisos, y concederlos sólo allí donde se necesiten. Por desgracia, esto nos obliga en algunas situaciones a facilitarlos en claves concretas de registro.
Puestos a modificar claves de registro a usuarios específicos por necesidades de aplicación, lo suyo es tener a dichos usuarios dentro de un mismo grupo de seguridad, y dar estos permisos al grupo. Esto simplifica sobre todo la gestión cuando se produce rotación de personal. Pero al grano: vamos a ver cómo dar permisos a un grupo de seguridad especifico vía GPO.
Para ello, abrimos la consola de administración de directivas de grupo, y editamos la GPO que proceda. En este caso, vamos a modificar una clave de HKLM, de manera que tocaremos en la parte de máquina de la gpo:
Como se ve en la imagen, debemos ir a la parte de configuración del equipo / directivas / configuración de Windows / configuración de seguridad / Registro. Aquí pulsamos botón derecho / agregar clave, y generamos la clave que queramos para modificar permisos. Por ejemplo... supongamos que quiero dar permisos a HKLM\Software\Microsoft\EnterpriseCertificates. Pues generamos el registro de la siguiente manera:
Segun damos a aceptar, llegamos a la pantalla de permisos. Es el momento de agregar el grupo de seguridad que queramos que tenga permisos sobre esta clave de registro, y su nivel de permisos:
Aplicamos y aceptamos, y nos preguntará cómo deben propagarse los permisos, si es que deben propagarse:
Con esto, tenemos la clave generada, y con la propagación necesaria, si corresponde.
¡Espero que os sea de utilidad! Si te ha gustado el articulo, puedes invitarme a un café ;)