none
Permisos para desbloquear cuentas RRS feed

  • Pregunta

  • Buenos dias.

    Quisiera saber cuales permisos o pertenencia a grupo de cuentas es necesario para que un usuario pueda desbloquear un cuenta bloqueada, ya que tengo un usuario con pertenencia al grupo Operador de cuentas y no puede hacerlo.

    Asimismo si hubiese alguna documentación con los privilegios que tiene cada grupo de cuentas built-in del dominio.

    Saludos.


    OrlandoP

    lunes, 25 de febrero de 2013 14:11

Respuestas

  • OrlandoP, 

    Cuando se delegan permisos para un usuario en particular, los mismos no aplican para cuentas protegidas ( Basicamente todas las cuentas temrinadas en ors). Esto se debe al funcionamiento del AdminSDHolder, el cual resetea cada 60 minutos los permisos designados sobre estas cuentas con motivos de seguridad.

    Al delegar permisos de seguridad, son para efectuar acciones sobre cuentas sin privilegios, en el caso de querer hacer cualquier operacion sobre usuarios protegidos, se debera utilizar un usuario protegido que disponga de los privilegios necesarios.

    Cuando tu delegas los permisos para resetear cuentas, estas asignando los permisos de "Read LockoutTime" y "Write LockoutTime" estos permisos lo asignas sobre todos los objetos para este usuario "delegado", al este permiso impactar sobre cualquier cuenta protegida, el mismo es borrado debido al mecanismo de seguridad de AdminSDHolder, esto seria lo que causa el comportamiento que mencionas.

    Para mas informacion puedes leer la siguiente nota de soporte : http://support.microsoft.com/kb/817433?wa=wsignin1.0


    Sebastian del Rio - Microsoft Premier Field Engineer Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho. Ud. asume los riesgos


    martes, 19 de marzo de 2013 22:11
    Moderador

Todas las respuestas

  • Hola Orlando,

    Para que un grupo de usuarios puedan gestionar estas acciones, no se trata tanto de membresía sino más bien de delegación de las acciones a nivel AD.

    En el siguiente link tienes paso a paso como delegar la funcionalidad de lockout de cuentas.

    http://support.microsoft.com/kb/294952/en-us 

    A parte, lo de los privilegios a nivel builtin  los puedes ver y relacionar con la siguiente tabla

    http://ss64.com/nt/syntax-security_groups.html 

    Saludos

    Julio Rosua

    lunes, 25 de febrero de 2013 15:00
  • Gracias.

    Una consulta, tengo un usuario delegado para desbloquear cuentas que es operador de cuentas y puede desbloquear cuentas de los usuarios del dominio pero no de usuarios que tambien son operadores de cuenta. Existe algun paso adicional para lograr esto?

    Saludos.


    OrlandoP

    martes, 19 de marzo de 2013 19:54
  • OrlandoP, 

    Cuando se delegan permisos para un usuario en particular, los mismos no aplican para cuentas protegidas ( Basicamente todas las cuentas temrinadas en ors). Esto se debe al funcionamiento del AdminSDHolder, el cual resetea cada 60 minutos los permisos designados sobre estas cuentas con motivos de seguridad.

    Al delegar permisos de seguridad, son para efectuar acciones sobre cuentas sin privilegios, en el caso de querer hacer cualquier operacion sobre usuarios protegidos, se debera utilizar un usuario protegido que disponga de los privilegios necesarios.

    Cuando tu delegas los permisos para resetear cuentas, estas asignando los permisos de "Read LockoutTime" y "Write LockoutTime" estos permisos lo asignas sobre todos los objetos para este usuario "delegado", al este permiso impactar sobre cualquier cuenta protegida, el mismo es borrado debido al mecanismo de seguridad de AdminSDHolder, esto seria lo que causa el comportamiento que mencionas.

    Para mas informacion puedes leer la siguiente nota de soporte : http://support.microsoft.com/kb/817433?wa=wsignin1.0


    Sebastian del Rio - Microsoft Premier Field Engineer Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho. Ud. asume los riesgos


    martes, 19 de marzo de 2013 22:11
    Moderador
  • OK, gracias.

    Estuve probando con una cuenta operador de cuenta y veo que si puede desbloquear cuentas de usuarios y de operadores de cuentas pero ingresando al servidor desde consola, pero cuando lo hacen por herramienta de administracion instalados en sus equipos no pueden.

    Existe alguna forma que un operador de cuenta se conecte por escritorio remoto a un controlador de dominio?

    Asimismo, con un usuario del dominio no le pueden desbloquear la cuenta ya que aparece que el check de desbloquear no lo permite, es como si esa opcion estuviese bloqueado. Dicho usuario alguna vez pertenecio a sistemas y me entra la duda que la tal vez le otorgaron permisos delegados o algo, hay forma de ver todos los permisos que puede tener un usuario?

    Adjunto imagen. No entiendo porque sale eso solo con algunos usuarios.

    desbloqueo

    Saludos.


    OrlandoP




    • Editado OrlandoP miércoles, 20 de marzo de 2013 15:22
    miércoles, 20 de marzo de 2013 14:04
  • Orlando,

    La respuesta esta en la nota que te pase :) cuando un usuario pertenece o pertenecio a un grupo administrativo el atributo "admin count" se pone en 1, esto quiere decir que si un usuario pertenece o alguna vez pertenecio a un grupo administrativo, de manera predeterminada al quitarle la membresia administrativa al usuario, el mismo seguira perteneciendo a las grupos protegidos por tener el admin count en 1. Por lo cual en todo caso deberias resetear el atributo admin count, de manera que ningun usuario que actualmente NO Pertenezca a un grupo administrativo no sea protegido por el atributo admin count.

    Mira el metodo 1 de la siguiente nota.http://support.microsoft.com/kb/817433?wa=wsignin1.0


    Sebastian del Rio - Microsoft Premier Field Engineer Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho. Ud. asume los riesgos

    jueves, 21 de marzo de 2013 11:01
    Moderador
  • Gracias.

    Entonces para evitar esto debo cambiar dicho atributo, hay forma de listar a todos los usuarios que tienen dicho atributo? Solo lo quito y ya o hay q actualizar en algun otro lado?

    Para mi caso requiero que un operador de cuenta pueda desbloquear a otro operador de cuenta, en ese caso que hago? Le quito el atributo de 1 o hay que modificar la carpeta adminsdholder y como se haria?

    Hay forma de crear un grupo restringido que contenga a administardores de dominio pero que éste no puedo tener control sobre el grupo admins. del dominio para que asi no agregue a otros usuarios como admins del dominio?

    Saludos.


    OrlandoP

    viernes, 22 de marzo de 2013 16:52