none
PERMISOS PARA MODIFICAR GRUPOS RRS feed

  • Pregunta

  • Saludo a todos, me encuentro ante un requerimiento de establecer permisos de operadores de cuenta para un grupo de help desk

    se requiere que estos usuarios administren la OU de usuarios comunes, puedan resetear password, modificar pertenencia a groups etc,

    pero la dificultad aquí es que ellos mismos no deben poder modificar la pertenencia a groups en sus propios usuarios.

    Como para poder asignar grupos debo darles permisos sobre los GRupos mismos, no logro restringir que no puedan modificar su propia pertenencia a estos.

    Alguien se le ocurre una forma de hacerlo? que los usuarios de helpdesk puedan operar sobre las cuentas de usuarios pero no sobre las propias (principalmente que no púedan cambiarce la pertenencia a grupos en sus propias cuentas)

    desde ya muchisimas gracias!

    viernes, 7 de junio de 2013 19:20

Respuestas

  • Es que realmente no resuelves ese problema y no mejoras la seguridad.

    Aunque un operador de Help desk no pueda cambiar la pertenencia de su cuenta, podrá usar la cuenta de un usuario (de la que puede cambiar la password) añadirla al grupo que quiera, y por tanto acceder a donde le de la gana...

    • Marcado como respuesta Uriel Almendra viernes, 4 de octubre de 2013 15:07
    jueves, 13 de junio de 2013 20:08
  • Cierto. Administrando un dominio tienes que confiar en tus administradores y operadores. Más aconsejable que ese tipo de configuración sería auditar los cambios en el directorio, para poder saber qué hizo quién cuándo.

    Un saludo

    Fernando Reyes [MS MVP]
    MCSA 2000/2003
    MCSE 2000/2003
    MCITP EnterpriseAdministrator
    Web: http://freyes.svetlian.com
    Blog: http://urpiano.wordpress.com
    RSS: http://urpiano.wordpress.com/feed/

    • Marcado como respuesta Uriel Almendra viernes, 4 de octubre de 2013 15:07
    viernes, 14 de junio de 2013 6:13
    Moderador

Todas las respuestas

  • Podrías probar a denegar el permiso Leer pertenencia a grupo en los objetos de usuario para el propio usuario. Quiero decir, que si Pepito es administrador delegado, en la cuenta de Pepito vas a la pestaña Seguridad, Opciones avanzadas, Agregar..., pones de usuario SELF y deniegas el permiso Leer pertenencia a grupo.

    Una cosa: las denegaciones prevalecen sobre las concesiones, por lo que se deben evitar como la peste. Por ello, cuando no queda más remedio que usarlas, es necesario documentarlas de alguna manera, por ejemplo indicandoolo en la descripción o las notas del objeto en el que se aplica la denegación; esto nos permitirá no "volvernos locos" cuando nos encontremos con comportamientos inesperados.


    Un saludo

    Fernando Reyes [MS MVP]
    MCSA 2000/2003
    MCSE 2000/2003
    MCITP EnterpriseAdministrator
    Web: http://freyes.svetlian.com
    Blog: http://urpiano.wordpress.com
    RSS: http://urpiano.wordpress.com/feed/

    lunes, 10 de junio de 2013 7:14
    Moderador
  • Yo me plantaría si ¿es realmente necesario hacer esa limitación al grupo de Help Desk?, ¿Qué motivos tienes?.

    lunes, 10 de junio de 2013 10:49
  • basicamente es una medida que me solicitaron para aumentar un poco más la seguridad, del estilo  Que el operador pueda administrar a los usuarios comunes, pero no cambiarce a si mismo de grupo (por ejemplo incluirce en el grupod e compras, de pagos, de RRHH, etc.) por supuesto que no me parece tampoco ninguna cosa critica ya que es un grupo de gente reducido y perfectamente manejable.

    Mil gracias por sus respuestas de todas formas voy a probar lo que indico fernando Reyes, pero voy a recomendar no utilizarlo ya que traeria más problemas de los que resuelve.

    jueves, 13 de junio de 2013 17:34
  • Es que realmente no resuelves ese problema y no mejoras la seguridad.

    Aunque un operador de Help desk no pueda cambiar la pertenencia de su cuenta, podrá usar la cuenta de un usuario (de la que puede cambiar la password) añadirla al grupo que quiera, y por tanto acceder a donde le de la gana...

    • Marcado como respuesta Uriel Almendra viernes, 4 de octubre de 2013 15:07
    jueves, 13 de junio de 2013 20:08
  • Cierto. Administrando un dominio tienes que confiar en tus administradores y operadores. Más aconsejable que ese tipo de configuración sería auditar los cambios en el directorio, para poder saber qué hizo quién cuándo.

    Un saludo

    Fernando Reyes [MS MVP]
    MCSA 2000/2003
    MCSE 2000/2003
    MCITP EnterpriseAdministrator
    Web: http://freyes.svetlian.com
    Blog: http://urpiano.wordpress.com
    RSS: http://urpiano.wordpress.com/feed/

    • Marcado como respuesta Uriel Almendra viernes, 4 de octubre de 2013 15:07
    viernes, 14 de junio de 2013 6:13
    Moderador