none
Permisos de Objetos RRS feed

  • Pregunta

  • Buenas tardes

    Actualmente tengo un entorno de DA con 2 DC Windows 2008R2, Nievl funcional de Forest y Dominio Windows 2008R2.

    El cliente necesita que ciertos usuarios puedan crear usuarios, desbloquear usuarios, cambiar contraseñas para lo cual cual a esos usuarios los coloque como miembros del grupo Account Operators y con esto pueden realizar las funciones que se necesitan, el problema que tengo es que cuando abren las propiedades de los usuarios que estan en algunas OU especificas no pueden realizar ninguna accion sobre esos objetos, al revisar los permisos de la OU veo que el grupo Account Operators tiene permisos pero si reviso los permisos que tienen esos onjetos usuarios veo que el grupo Account Operators no tiene permisos para lo cual procedo en la pestaña de Security seleccionar Advanced y hacer click en Restore defaults y ya el grupo de account operators queda con permisos sobre el objetos pero luego de unas horas estos permisos se pierden, trata de hacer una delegacion sobre estas OU's pero luego de unas horas se pierde la delegacion, he utilizado el comando Dsacls DN Objeto Usuario /resetDefaultDACL y Dsacls DN Objeto Usuario /resetDefaultSACL pero ocurre lo mismo.

    Espero me logren ayudar

    Gracias


    Juan David Puerta

    lunes, 6 de mayo de 2013 20:19

Respuestas

  • Para explicar este comportamiento...

    Existe un objeto en el dominio llamado AdminSDHolder, que puedes ver como un contenedor en Usuarios y equipos de Active Directory en tudominio\System. Este objeto tiene una lista de permisos que es la que se aplican a los objetos protegidos por SDPROP (SD Propagator), proceso que es lanzado cada hora por el PDC Emulator del dominio. Este proceso revisa los objetos para comprobar si deben ser o no protegidos, en base a su pertenencia a determinados grupos (pertenencia directa o heredada) y marca a los objetos protegidos poniendo el valor 1 al atributo AdminCount. Otra cosa que hace es comparar en los objetos protegidos los permisos que tienen establecidos con los que tiene el objeto AdminSDHolder y cambiarlos a estos últimos si no coinciden; por último bloquea la herencia de permisos, de manera que si en una OU se establece delegación de permisos a un usuario éste no podrá administrar los objetos protegidos por SDPROP, ya que no tendrá los permisos necesarios. Los objetos protegidos por este mecanismo son aquellos que pertenecen a determinados grupos, como por ejemplo estos (los grupos concretos protegidos dependen de la versión de Windows):

    • Enterprise Admins
    • Schema Admins
    • Domain Admins
    • Administrators
    • Domain Controllers
    • Cert Publishers
    • Backup Operators
    • Replicator Server Operators
    • Account Operators
    • Print Operators

    Como puedes ver esto responde completamente al problema que dices, pues si cambias el valor de AdminCount, volverá al cabo de una hora a ser 1, si quitas el bloqueo de la herencia y restableces permisos, estará de nuevo bloqueada al cabo de una hora y los permisos se habrán perdido de nuevo.

    Se puede modificar este comportamiento, los grupos afectados, la frecuencia con la que trabaja SDPROP e incluso forzar su ejecución. Tienes el ladrillo completo aquí:

    AdminSDHolder, Protected Groups and SDPROP
    http://technet.microsoft.com/es-es/magazine/2009.09.sdadminholder.aspx


    Un saludo

    Fernando Reyes [MS MVP]
    MCSA 2000/2003
    MCSE 2000/2003
    MCITP EnterpriseAdministrator
    Web: http://freyes.svetlian.com
    Blog: http://urpiano.wordpress.com
    RSS: http://urpiano.wordpress.com/feed/
    freyes.champú@champú.mvps.org
    (Aclárate la cabeza si quieres escribirme)

    • Marcado como respuesta JUPUERTA miércoles, 26 de junio de 2013 12:55
    jueves, 9 de mayo de 2013 10:45
    Moderador

Todas las respuestas

  • Esos objetos sobre los que no pueden actuar los operadores de cuentas son objetos protegidos, seguramente cuentas con privilegios de administración. Los Operadores de Cuentas solo pueden administrar cuentas e usuarios normales.
    martes, 7 de mayo de 2013 8:23
  • Buenos Dias

    Javier, los esos objectos de los cuales hablo son los usuarios del mismo grupo Account Operators y otros usuaris que solo tiene privilegios de Domain Users

    Gracias


    Juan David Puerta

    miércoles, 8 de mayo de 2013 12:31
  • Precisamente, los miembros del grupo Account Operators son objetos protegidos.
    miércoles, 8 de mayo de 2013 14:35
  • Bueas tardes

    Javier y adicional no tiene permisos sobre otros usuarios que son Domain Users. El comportamiento es el mismo

    Revisando un poco mas en detalle veo que los usuarios sobre los que no se tienen los permisos tienen un atributo que se llama adminCount y este tiene un valor de 1 y los usuarios sobre los que si se tienen permisos este atributo existe pero no esta definido y si trato de limpiar este atributo luego de 2 horas vuelve queda en 1 nuevamente

    Gracias


    Juan David Puerta

    miércoles, 8 de mayo de 2013 16:54
  • Serán Domain users, pero si tiene ese atributo es que están protegidos, seguramente porque pertenecen a algún grupo protegido.
    miércoles, 8 de mayo de 2013 16:56
  • Estuve revisando el detenidamente cada uno de los grupos del dominio y efectivamente dentro del anidamiento que se tienen los usuarios pertenecen a Account Operators y/o Server Operators.

    Por lo que te entiendo los usuarios de Account Operators no pueden ejecutar acciones sobre objetos protegidos entonces la mejor opcion seria realizar una delegacion por medio del asistente de Active Directory Users and Computers?

    Gracias


    Juan David Puerta

    miércoles, 8 de mayo de 2013 18:41
  • Los operadores de cuentas solo pueden modificar usuarios normales.

    No tengo claro que la delegación funcione. Prueba a ver.

    jueves, 9 de mayo de 2013 7:50
  • Para explicar este comportamiento...

    Existe un objeto en el dominio llamado AdminSDHolder, que puedes ver como un contenedor en Usuarios y equipos de Active Directory en tudominio\System. Este objeto tiene una lista de permisos que es la que se aplican a los objetos protegidos por SDPROP (SD Propagator), proceso que es lanzado cada hora por el PDC Emulator del dominio. Este proceso revisa los objetos para comprobar si deben ser o no protegidos, en base a su pertenencia a determinados grupos (pertenencia directa o heredada) y marca a los objetos protegidos poniendo el valor 1 al atributo AdminCount. Otra cosa que hace es comparar en los objetos protegidos los permisos que tienen establecidos con los que tiene el objeto AdminSDHolder y cambiarlos a estos últimos si no coinciden; por último bloquea la herencia de permisos, de manera que si en una OU se establece delegación de permisos a un usuario éste no podrá administrar los objetos protegidos por SDPROP, ya que no tendrá los permisos necesarios. Los objetos protegidos por este mecanismo son aquellos que pertenecen a determinados grupos, como por ejemplo estos (los grupos concretos protegidos dependen de la versión de Windows):

    • Enterprise Admins
    • Schema Admins
    • Domain Admins
    • Administrators
    • Domain Controllers
    • Cert Publishers
    • Backup Operators
    • Replicator Server Operators
    • Account Operators
    • Print Operators

    Como puedes ver esto responde completamente al problema que dices, pues si cambias el valor de AdminCount, volverá al cabo de una hora a ser 1, si quitas el bloqueo de la herencia y restableces permisos, estará de nuevo bloqueada al cabo de una hora y los permisos se habrán perdido de nuevo.

    Se puede modificar este comportamiento, los grupos afectados, la frecuencia con la que trabaja SDPROP e incluso forzar su ejecución. Tienes el ladrillo completo aquí:

    AdminSDHolder, Protected Groups and SDPROP
    http://technet.microsoft.com/es-es/magazine/2009.09.sdadminholder.aspx


    Un saludo

    Fernando Reyes [MS MVP]
    MCSA 2000/2003
    MCSE 2000/2003
    MCITP EnterpriseAdministrator
    Web: http://freyes.svetlian.com
    Blog: http://urpiano.wordpress.com
    RSS: http://urpiano.wordpress.com/feed/
    freyes.champú@champú.mvps.org
    (Aclárate la cabeza si quieres escribirme)

    • Marcado como respuesta JUPUERTA miércoles, 26 de junio de 2013 12:55
    jueves, 9 de mayo de 2013 10:45
    Moderador