none
usuario administrador en la relación de confianza. RRS feed

  • Pregunta

  • Buenos días a todos,

    Se me ha planteado la siguiente cuestión:

    En una relación de confianza entre dominio A y dominio B, cuando desde dominio B busco un usuario de dominio A (por ejemplo para añadirlo en un grupo de dominio B) me pide unas credenciales. En un entorno de pruebas meto la de administrador del dominio A. Pero... que pasa si la relación de confianza se implanta por obligación pero yo realmente no confio en "los otros"? Se puede crear un usuario con privilegios para buscar en el dominio A, sin tener que ceder a "los otros" las credenciales de administrador del dominio?

    Muchas gracias!!


    Saludos,

    martes, 26 de noviembre de 2013 11:27

Respuestas

  • Sí claro, puedes perfectamente crear un usuario para esos menesteres, no es necesario que sea administrador cuando tan sólo necesitas poder buscar, otra cosa sería realizar modificaciones.

    Un saludo

    Fernando Reyes
    MCSA 2000/2003/2012
    MCSE 2000/2003
    MCITP Enterprise Administrator
    Web: http://freyes.svetlian.com
    Blog: http://urpiano.wordpress.com
    RSS: http://urpiano.wordpress.com/feed/

    • Marcado como respuesta Martínez martes, 26 de noviembre de 2013 14:56
    • Desmarcado como respuesta Martínez miércoles, 4 de diciembre de 2013 10:51
    • Propuesto como respuesta Uriel Almendra miércoles, 4 de diciembre de 2013 15:23
    • Marcado como respuesta Uriel Almendra miércoles, 4 de diciembre de 2013 18:21
    martes, 26 de noviembre de 2013 11:29
    Moderador
  • Hola Martínez,

    Si solo necesita hacer consultas, como dice Fernando, no hace falta más que lo crees en tu AD y poco más, si necesitas que haga más tareas, delegale privilegios solo en las OUs o los Objetos que necesites. No hace falta que sea administrador local para eso.

    Un saludo y espero que te sirva


    Twitter 

    • Marcado como respuesta Martínez martes, 26 de noviembre de 2013 14:56
    • Desmarcado como respuesta Martínez miércoles, 4 de diciembre de 2013 10:52
    • Propuesto como respuesta Uriel Almendra miércoles, 4 de diciembre de 2013 15:23
    • Marcado como respuesta Uriel Almendra miércoles, 4 de diciembre de 2013 18:21
    martes, 26 de noviembre de 2013 11:59
  • Ahora si me he enterado bien de cual era tu duda ;) Me estaba perdiendo y pensaba que te referías a crear la relación de confianza.

    En principio, la relación de confianza te debería permitir hacer esa consulta sin necesidad ni tan siquiera de poner unas credenciales del dominio B, con lo que la respuesta a tu pregunta sería que no necesitas ser Administrador del dominio B para hacer la operación que indicas.

    Dicho esto, si la relación de confianza es bidireccional y tienes que introducir las credenciales, deberías revisar tu configuración porque algo tiene que ir mal. En caso de que la relación sea unidireccional el comportamiento que comentas es normal.

    Espero haberte servido de ayuda esta vez ;)


    Twitter: @SantiFdezMunoz
    CursoHispano.com

    • Marcado como respuesta Martínez jueves, 5 de diciembre de 2013 16:55
    jueves, 5 de diciembre de 2013 15:23

Todas las respuestas

  • Sí claro, puedes perfectamente crear un usuario para esos menesteres, no es necesario que sea administrador cuando tan sólo necesitas poder buscar, otra cosa sería realizar modificaciones.

    Un saludo

    Fernando Reyes
    MCSA 2000/2003/2012
    MCSE 2000/2003
    MCITP Enterprise Administrator
    Web: http://freyes.svetlian.com
    Blog: http://urpiano.wordpress.com
    RSS: http://urpiano.wordpress.com/feed/

    • Marcado como respuesta Martínez martes, 26 de noviembre de 2013 14:56
    • Desmarcado como respuesta Martínez miércoles, 4 de diciembre de 2013 10:51
    • Propuesto como respuesta Uriel Almendra miércoles, 4 de diciembre de 2013 15:23
    • Marcado como respuesta Uriel Almendra miércoles, 4 de diciembre de 2013 18:21
    martes, 26 de noviembre de 2013 11:29
    Moderador
  • Hola Fernando,

    En primer lugar agradecerte tu rápida respuesta.

    bastaría simplemente con crear un usuario en ese dominio y hacerlo como administrador de la maquina (no recuerdo si era con el editor de atributos...), o habría que especificar algo más? 

    Pienso que creandolo como administrador bastaría pero... si me puedes confirmar, mejor.

    Mil gracias,


    Saludos,

    martes, 26 de noviembre de 2013 11:43
  • Hola Martínez,

    Si solo necesita hacer consultas, como dice Fernando, no hace falta más que lo crees en tu AD y poco más, si necesitas que haga más tareas, delegale privilegios solo en las OUs o los Objetos que necesites. No hace falta que sea administrador local para eso.

    Un saludo y espero que te sirva


    Twitter 

    • Marcado como respuesta Martínez martes, 26 de noviembre de 2013 14:56
    • Desmarcado como respuesta Martínez miércoles, 4 de diciembre de 2013 10:52
    • Propuesto como respuesta Uriel Almendra miércoles, 4 de diciembre de 2013 15:23
    • Marcado como respuesta Uriel Almendra miércoles, 4 de diciembre de 2013 18:21
    martes, 26 de noviembre de 2013 11:59
  • Hola Santi, 

    Gracias por responder. Me había hecho un lio con la anterior respuesta... pero ya se lo que tengo que hacer.

    Muchas gracias a los dos.


    Saludos,

    martes, 26 de noviembre de 2013 14:57
  • De nada, a mandar :)

    Twitter 

    martes, 26 de noviembre de 2013 14:58
  • Hola de nuevo,

    Hasta hoy no he podido hacer la prueba. Bien, he probado a incluir un usuario del dominio B en un grupo del dominio A y al pedirme credenciales solo puedo meter la de Administrador. Ahora pensándolo, cuando se crea la relación de confianza se ponen las credenciales de Administrador, y supongo que es por esto que ese es el único usuario que sirve para validar.. 

    ¿Me equivoco? Lo que yo pretendo es: ver si existe la posibilidad de no dar las credenciales de administrador a la otra organización, y darles solo un usuario creado aposta para esto.

    ¿Es posible? Si es posible ¿Podríais indicarme y guiarme sobre como hacerlo?

    Muchas gracias por adelantado.



    Saludos,

    miércoles, 4 de diciembre de 2013 14:57
  • Hola Martínez,

    Me he perdido un poco con tu pregunta. Si te he entendido bien lo que quieres que los usuarios de la organización B se autentiquen en la organización A y accedan a los recursos de esta, ¿es así?.

    Para crear una relación de confianza si es cierto que necesitas que el usuario que cree la relación de confianza sea administrador de dominio en cada uno de los dominios, es decir necesitarás un DominioA\administrador y un DominioB\administrador.

    Una vez que se ha establecido la relación de confianza de forma correcta, esa cuenta de administrador ya no es necesaria para seguir manteniendo la relación de confianza, con lo que si creaste la cuenta de adm "exprofeso" para ese propósito, puedes borrarla o deshabilitarla una vez que se haya creado la relación de confianza.

    A parte de eso, una vez que se ha establecido una relación de confianza, los usuarios del dominio A podrán acceder a recursos del dominio B usando sus credenciales del dominio A, independientemente de que el usuario sea o no administrador de dominio de A o B. Ahora bien, independientemente de que exista o no una relación de confianza, si un usuario autenticado intenta acceder a un recurso para el que no está autorizado, pues evidentemente no podrá usarlo. Quiero decir con esto que si aunque tengas la relación de confianza bien configurada, un usuario del dominio A intenta acceder a un recurso del dominio B y el usuario no está autorizado para acceder al recurso del dominio B, evidentemente no accederá.

    En este punto lo que deberías hacer es aplicar privilegios usando una estrategia de anidamiento de grupos donde, por resumir, usas un grupo Universal para meter usuarios (de los dos dominios, da igual), metes al grupo Universal y un grupo local de dominio y le concedes privilegios sobre el recurso al grupo local de dominio. Te paso un enlace donde tienes más información detallada sobre el tema: Using Group Nesting Strategy - AD Best Practices for Group Strategy

    Un saludo y espero que te sirva


    Twitter: @SantiFdezMunoz
    CursoHispano.com

    jueves, 5 de diciembre de 2013 8:51
  • Hola Santi, 

    Gracias por tomar de tu tiempo para responder, lo agradezco mucho.

    Efectivamente yo tengo la relacion de confianza creada y entiendo lo que me explicas, de hecho he creado grupos universales para este fin. No hay problema en incluir usuarios del dominio B en un grupo universal del dominio A. Lo que expongo (que a lo mejor no tiene sentido lo que digo) es lo siguiente:

    Pongámonos en la situación de que tengo un file server en dominio A. Los usuarios que pueden acceder a este recurso están en el grupo acceso_fileserver que es de tipo universal. Todo esto en el dominio A, incluyo en el grupo los usuarios del dominio A.

    Bien, tras crear la relación de confianza puedo incluir usuarios de dominio B en ese grupo acceso_fileserver. Hasta ahi bien. Todo funciona. En principio estaría todo bien. Vale, ahora, en el paso de incluir usuarios del dominio B en el grupo acceso_fileserver (creado en DOMINIO A) me pide unas credenciales (supongo que para poder buscar el usuario en el dominio B. Hasta ahora yo le pongo las credenciales de administrador de dominio B y me encuentra al usuario sin problema. Aquí es donde me surge la duda. Es posible que se pueda introducir otro usuario que no sea el de Administrador del dominio B cuando me pide credenciales? Es decir, si yo creo otro usuario en dominio B llamado martinez y lo quiero meter en el grupo universal llamado acceso_fileserver (ubicado en dominio A) me pide credenciales, es obligatorio introducir las credenciales de Administrador para poder hacer la operación?

    Espero haberme explicado correctamente..

    Muchas gracias,


    Saludos,

    jueves, 5 de diciembre de 2013 14:57
  • Ahora si me he enterado bien de cual era tu duda ;) Me estaba perdiendo y pensaba que te referías a crear la relación de confianza.

    En principio, la relación de confianza te debería permitir hacer esa consulta sin necesidad ni tan siquiera de poner unas credenciales del dominio B, con lo que la respuesta a tu pregunta sería que no necesitas ser Administrador del dominio B para hacer la operación que indicas.

    Dicho esto, si la relación de confianza es bidireccional y tienes que introducir las credenciales, deberías revisar tu configuración porque algo tiene que ir mal. En caso de que la relación sea unidireccional el comportamiento que comentas es normal.

    Espero haberte servido de ayuda esta vez ;)


    Twitter: @SantiFdezMunoz
    CursoHispano.com

    • Marcado como respuesta Martínez jueves, 5 de diciembre de 2013 16:55
    jueves, 5 de diciembre de 2013 15:23
  • Muchas gracias! LA verdad es que me explico como un libro cerrado a la hora de escribir un post... 

    En efecto la relacion de confianza que tengo es unidireccional. Como comentas que es un comportamiento normal.. he supuesto que ha de ser miembro de algun grupo de administradores del dominio B. De momento he creado el usuario martinez en dominio B y lo he metido en el grupo Administrador del dominio (del dominio B) y me ha validado correctamente, por lo que efectivamente es necesario que sea administrador. Tambien he probado metiendo el usuario martinez solo en el grupo administradores de empresa y por otro lado administradores de esquema, y tambien me ha validado correctamente.. Sabrías decirme en que grupo debería meterlo para no darle mas permisos de los necesarios?

    Al menos me quedo más tranquilo de no tener que usar el usuario Administrador del dominio..

    Muchas gracias por tu tiempo.


    Saludos,

    jueves, 5 de diciembre de 2013 16:55