jueves, 9 de diciembre de 2021

Cómo dar permisos al registro vía GPO

 Seguro que todos nos hemos encontrado con esas aplicaciones que requieren permisos de administrador sobre el equipo para funcionar, como pueden ser, por poner un ejemplo, Contaplus, o similares. Si tenemos puesto el foco en la seguridad, lo de andar dando permisos de administrador en las maquinas a los usuarios es una locura, de manera que lo correcto es determinar dónde requieren dichas aplicaciones esos permisos, y concederlos sólo allí donde se necesiten. Por desgracia, esto nos obliga en algunas situaciones a facilitarlos en claves concretas de registro.

Puestos a modificar claves de registro a usuarios específicos por necesidades de aplicación, lo suyo es tener a dichos usuarios dentro de un mismo grupo de seguridad, y dar estos permisos al grupo. Esto simplifica sobre todo la gestión cuando se produce rotación de personal. Pero al grano: vamos a ver cómo dar permisos a un grupo de seguridad especifico vía GPO.

Para ello, abrimos la consola de administración de directivas de grupo, y editamos la GPO que proceda. En este caso, vamos a modificar una clave de HKLM, de manera que tocaremos en la parte de máquina de la gpo:

Como se ve en la imagen, debemos ir a la parte de configuración del equipo / directivas / configuración de Windows / configuración de seguridad / Registro. Aquí pulsamos botón derecho / agregar clave, y generamos la clave que queramos para modificar permisos. Por ejemplo... supongamos que quiero dar permisos a HKLM\Software\Microsoft\EnterpriseCertificates. Pues generamos el registro de la siguiente manera:

Segun damos a aceptar, llegamos a la pantalla de permisos. Es el momento de agregar el grupo de seguridad que queramos que tenga permisos sobre esta clave de registro, y su nivel de permisos:

Aplicamos y aceptamos, y nos preguntará cómo deben propagarse los permisos, si es que deben propagarse:

Con esto, tenemos la clave generada, y con la propagación necesaria, si corresponde. 

¡Espero que os sea de utilidad! Si te ha gustado el articulopuedes invitarme a un café  ;)