none
usuario administrador capado y delegar control RRS feed

  • Pregunta

  • Hola a tod@s:

    Tengo que hacer unas tareas de seguridad en el directorio activo y no tengo ni idea de cómo hacerlo, a ver si me podéis iluminar con vuestra sabiduría.

    Os pongo en antecedentes..

    Tenemos oficinas internacionales las cúales tienen contratado un soporte IT local. Tienen un Dc conectado al dominio principal de la compañía. Estos dc´s dan servicio de ficheros, copias de seguridad, dns, dhcp, etc.

    Nuestro AD tiene una OU por cada país, y dentro de esta OU hay tres más (Servers, UsersGroups, Workstations). En Servers..servidores, sean dc´s o no, En Usersgroups...usuarios y grupos de usuarios y en Workstations...las estaciones de trabajo de la LAN local

    El IT local tiene que administrar las copias de seguridad, poder reiniciar el servidor, etc..

    Las tareas a realizar son:

    -El usuario administrador local de cada país tiene que administrar la máquina local pero no tiene que tener permisos de administrador de todo el dominio.

    -El usuario administrador local tiene que poder reiniciar el servidor.

    y aquí bien cuando la matan...es sobre el AD y estas son las que más me interesan.

    -Tiene que poder conectarse en AD sólo a su correspondiente OU de sus país

    -Tiene que poder mover las cuentas de equipo (si es que meten alguna máquina al dominio) de la OU "Computers" a su OU correspondiente...OU del país/Workstations.

    ¿Cómo puedo hacer esto?, he estado mirando blogs, technet, etc..pero no se si de debe hacer a través de dsacl o con el wizard delegar control.

    Con el wizard te da cincuenta mil opciones para elegir atributos.

    ¿Podeis ayudarme?

    Muchas Gracias por adelantado

    miércoles, 23 de enero de 2013 11:33

Respuestas

  • Built-in NO es una OU, es un contenedor con funcionalidad reducida

    Primero que nada, cambiar permisos de esa forma sobre objetos de AD es muy peligroso, y se debe hacer con sumo cuidado, puedes llegar a hacer que no vuelva a funcionar, así que manéjalo con mucho cuidado

    El permiso efectivo es la combinación de todos los "Allow", pero los "Deny" prevalecen. Los explícitos prevalecen sobre los heredados

    Realmente no sé si sería la opción más correcta, nunca tuve el caso de tener que denegar. Normalmente se le crea un MMC limitada, y ya enfocada en la OU que tiene que administrar.
    Si quisiera ver todo el AD en realidad podría, pero si no tiene permisos solamente podrá ver, y no modificar nada

    Por el tema de las cuentas de máquina creo que lo mejor es que le saques el derecho de crear cuentas de máquina en el dominio, pero que se lo delegues en la OU. De esa forma lo obligas a crear primero la cuenta en la OU, y luego unir la máquina

    Sigamos solamente con estos dos temas en este hilo por favor, para los demás agrega pregunta nueva, porque sinó esto va para eterno :-)

     


    Guillermo Delprato - Buenos Aires, Argentina
    Visite Windows Server - Todos los Paso a Paso
    MVP [Directory Services] - MCT - MCSE - MCSA
    MCSA Windows Server 2012
    MCSA Windows Server 2008 MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory / Network Configuration / Applications Configuration / Server Virtualization / Windows 7 Configuration / Windows 7 & Office 2010 Deployment / Vista Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    • Marcado como respuesta Uriel Almendra lunes, 7 de octubre de 2013 22:22
    miércoles, 23 de enero de 2013 18:59
    Moderador

Todas las respuestas

  • No se entiende si estás en la central, o en una delegación local ¿puedes aclararlo?

    Si estás en una local, no te preocupes ya que todo eso se debe hacer desde el dominio principal

    En cambio si estás en la central y dices "no tengo ni idea de cómo hacerlo" te diría que estás en problemas graves :-)

    Algunas de las cosas que pides son fáciles, otras complejas, y otras que directamente no se pueden

    Por ejemplo una, que sea administrador de un DC pero no del dominio, no se puede salvo que sea un RODC, pero de un RODC no puedes hacer una copia completa del AD

     


    Guillermo Delprato - Buenos Aires, Argentina
    Visite Windows Server - Todos los Paso a Paso
    MVP [Directory Services] - MCT - MCSE - MCSA
    MCSA Windows Server 2012
    MCSA Windows Server 2008 MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory / Network Configuration / Applications Configuration / Server Virtualization / Windows 7 Configuration / Windows 7 & Office 2010 Deployment / Vista Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    miércoles, 23 de enero de 2013 13:56
    Moderador
  • Hola Guillermo!,

    Muchas Gracias por responder tan pronto.

    Efectivamente Guillermo estoy en la central y lo estoy haciendo desde el dominio principal.

    Teníamos y seguimos teniendo algunas sedes con su dominio propio pero la idea es que todos los DC estén contra el dominio principal.

    He conseguido avanzar un poco, en el directorio activo si activo la opción del menu ver>características avanzadas puedo ver en las propiedades de la OU la pestaña seguridad. Añado el grupo de administradores locales de IT y le deniego solamente leer. Si inicio sesión con el usuario admin "capado" y me conecto al AD ya no veo la OU donde le he denegado. ¿Sería correcto hacerlo así?, ¿Hay alguna forma más optimizada, es decir..tendría que ir OU por OU denegando la lectura?.

    Haciéndolo así me ha entrado una duda...siempre prevalece la más restrictiva...si le deniego la lectura a la OU de Builtin y ese admin es miembro del grupo operadores de copia/builtin...¿todos los permisos de operadores de copia se deniegan?

    Y lo de mover la cuenta de equipo que atributos tendría que concederle?

    MUCHAS GRACIAS.

    miércoles, 23 de enero de 2013 14:12
  • Built-in NO es una OU, es un contenedor con funcionalidad reducida

    Primero que nada, cambiar permisos de esa forma sobre objetos de AD es muy peligroso, y se debe hacer con sumo cuidado, puedes llegar a hacer que no vuelva a funcionar, así que manéjalo con mucho cuidado

    El permiso efectivo es la combinación de todos los "Allow", pero los "Deny" prevalecen. Los explícitos prevalecen sobre los heredados

    Realmente no sé si sería la opción más correcta, nunca tuve el caso de tener que denegar. Normalmente se le crea un MMC limitada, y ya enfocada en la OU que tiene que administrar.
    Si quisiera ver todo el AD en realidad podría, pero si no tiene permisos solamente podrá ver, y no modificar nada

    Por el tema de las cuentas de máquina creo que lo mejor es que le saques el derecho de crear cuentas de máquina en el dominio, pero que se lo delegues en la OU. De esa forma lo obligas a crear primero la cuenta en la OU, y luego unir la máquina

    Sigamos solamente con estos dos temas en este hilo por favor, para los demás agrega pregunta nueva, porque sinó esto va para eterno :-)

     


    Guillermo Delprato - Buenos Aires, Argentina
    Visite Windows Server - Todos los Paso a Paso
    MVP [Directory Services] - MCT - MCSE - MCSA
    MCSA Windows Server 2012
    MCSA Windows Server 2008 MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory / Network Configuration / Applications Configuration / Server Virtualization / Windows 7 Configuration / Windows 7 & Office 2010 Deployment / Vista Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    • Marcado como respuesta Uriel Almendra lunes, 7 de octubre de 2013 22:22
    miércoles, 23 de enero de 2013 18:59
    Moderador
  • Ok Guillermo!, estoy de acuerdo en lo que dices, tengo que encontrar el procedimiento adecuado para estandarizar las oficinas internacionales para hacer los mismo en todas. Ya que comentas que es bastante peligroso sería posible hacerlo por directivas de grupo porque la verdad que no he avanzado en el tema más y estoy un poco perdido.

    Gracias!

    jueves, 24 de enero de 2013 9:21
  • Ok Guillermo!, estoy de acuerdo en lo que dices, tengo que encontrar el procedimiento adecuado para estandarizar las oficinas internacionales para hacer los mismo en todas. Ya que comentas que es bastante peligroso sería posible hacerlo por directivas de grupo porque la verdad que no he avanzado en el tema más y estoy un poco perdido.

    Gracias!

    ¿Modificar permisos de objetos de AD por GPOs? no, eso no se hace de esa forma

    Si no conoces el tema y tiene una infraestructura como comentas deberías hacerlo a través de un consultor con experiencia en el tema.

    Incluso creo que te falta lo primero y más importante que es la etapa de diseño

     


    Guillermo Delprato - Buenos Aires, Argentina
    Visite Windows Server - Todos los Paso a Paso
    MVP [Directory Services] - MCT - MCSE - MCSA
    MCSA Windows Server 2012
    MCSA Windows Server 2008 MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory / Network Configuration / Applications Configuration / Server Virtualization / Windows 7 Configuration / Windows 7 & Office 2010 Deployment / Vista Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    jueves, 24 de enero de 2013 10:22
    Moderador