none
Aislar el usuario Root RRS feed

  • Pregunta

  • Estimados, estoy con el siguiente escenario, AD 2003 y la necesidad seria que nadie pueda Cambiar/Resetear la contraseña de Root, la idea es ensobrarla y que solo la sepa el Gerente de Seguridad Informática (tengo muy claro que si perdemos el sobre estamos complicados, pero quieren asumir ese riesgo).

    Podrían darme una mano de como configurar los permisos para realizar dicho pedido.

    Desde ya muchas gracias.


    Adrian Rodriguez -
    jueves, 2 de junio de 2011 15:05

Respuestas

  • No se puede. Cualquier administrador de dominio tiene los mismos privilegios.

    Lo único que sé que tiene de diferencia la cuenta original, es que no se bloque ante una política de bloqueo de cuentas, porque de otra forma si la atacaran y fuera la única, bloquearían todo el dominio.

    Opciones que se me ocurren quizás servirían, una la que comenté primero, que cada admin conozca parte de la clave de Administrador

    Otra, es que ninguno de los 4 sea administrador :-) No te asustes :-) Quizá se podría hacer algo con delegación lo más amplia posible a nivel de Dominio, aunque para algunas tareas van a necesitar al Administrador sí o sí, por ejemplo para autorizar un DHCP.
    Puede dar bastante trabajo encontrar todo lo que necesitan

     


    Guillermo Delprato - Buenos Aires, Argentina
    Visite Notas Windows Server
    MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.
    jueves, 2 de junio de 2011 17:52
    Moderador

Todas las respuestas

  • Hola Adrian, no hay "Root" en Windows :-) ¿será la cuenta original de Administrador?

    Algunas consideraciones:

    • Cualquier administrador de dominio puede resetear la contraseña de otro administrador de dominio ¿están conscientes de eso?
    • Tener una única cuenta con privilegios de administrador es peligroso ¿se han planteado que sucede si, por ejemplo corrupción del perfil no puede iniciar sesión?
    • Cualquier administrador del dominio Raíz (este sí es raíz) maneja la membresía de los grupos Enterprise Admins y Schema Admins.

    De todas formas hay maneras de proteger cuentas sensibles. Como la contraseña puede contener según documentado hasta 127 caracteres si mal no recuerdo, se puede hacer que dos o tres personas diferentes pongan parte de la contraseña.
    Entonces para que esa cuenta pueda iniciar sesión tiene que reunirse las personas.

     


    Guillermo Delprato - Buenos Aires, Argentina
    Visite Notas Windows Server
    MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.
    jueves, 2 de junio de 2011 15:42
    Moderador
  • Guillermo muchas gracias por preguntar,

    Te comento, somos 4 Administradores y todos Domain Admins, la idea es que nosotros no podamos cambiar la clave Original de Administrador y solo la cambie ese usuario, no lo ves viable realizar esto como metodo de seguridad?.

    Saludos


    Adrian Rodriguez -
    jueves, 2 de junio de 2011 16:37
  • No se puede. Cualquier administrador de dominio tiene los mismos privilegios.

    Lo único que sé que tiene de diferencia la cuenta original, es que no se bloque ante una política de bloqueo de cuentas, porque de otra forma si la atacaran y fuera la única, bloquearían todo el dominio.

    Opciones que se me ocurren quizás servirían, una la que comenté primero, que cada admin conozca parte de la clave de Administrador

    Otra, es que ninguno de los 4 sea administrador :-) No te asustes :-) Quizá se podría hacer algo con delegación lo más amplia posible a nivel de Dominio, aunque para algunas tareas van a necesitar al Administrador sí o sí, por ejemplo para autorizar un DHCP.
    Puede dar bastante trabajo encontrar todo lo que necesitan

     


    Guillermo Delprato - Buenos Aires, Argentina
    Visite Notas Windows Server
    MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.
    jueves, 2 de junio de 2011 17:52
    Moderador
  • Guillermo muchas gracias por la respuesta, doy por cerrado el tema.

    Saludos.


    Adrian Rodriguez -
    jueves, 2 de junio de 2011 20:04