none
Desabilitar y Cambiar contraseña del Administrador del Dominio RRS feed

  • Pregunta

  • POr favor su ayuda tengo el directorio activo en Windows 2008 R2 un servidor principal y un secundario en un sitio y con 8 réplicas en diferentes sitios, por reglas de seguridad desean que desactive el Administrador del dominio. Puede desactivar el usuario y colocar otro usuario con iguales caracteristicas?

    Desean que cambie la contraseña puedo hacer esto? Tengo asociado Exchange 2010 instalado con el Administrador del Dominio, Lync 2010  y Sharepoint 2010 afecta a algún servicio de estos?

    martes, 14 de abril de 2015 15:27

Respuestas

  • Hola Vero,

    Efectivamente lo normal es deshabilitar el Administrator de dominio, y crear otra cuenta con permisos similares. Lo normal es hacer esto en la fase de instalación del entorno cuando aún no hay instalados otros productos.

    Si ahora decides hacerlo, tendrás que tener especial cuidado con la seguridad de tus OUs, por si existe algún permiso explícito para el user Administrator y replicarlo para el nuevo. El nuevo usuario ya sabes que debes incluirlo en los mismos grupos de los que sea miembro tu Administrator, con respecto a si afecta o no a los servicios ya desplegados no debería siempre y cuando los servicios de estas aplicaciones no estén corriendo con la cuenta Administrator del dominio (cosa no recomendada).

    Te dejo esta guía de Microsoft sobre como securizar las cuentas de tu DA https://technet.microsoft.com/en-us/library/cc700835.aspx#XSLTsection124121120120 Y este otro artículo muy interesante.

    https://technet.microsoft.com/es-es/magazine/2006.01.securitywatch(en-us).aspx

     



    Daniel Graciá - Madrid / España

    MCSA 2012, MCSA 2008, MCITP Enterprise Admin
    MCTS SCOM 2007, Windows Vista Configuration
    MCSA 2003 + Security, MCSE 2003 + Security
    MCP ISA SERVER 2000,ITIL Foundation v3

    El Blog de Dani Gracia
    Dani Gracia en Twitter
    Dani Gracia en LinkedIn

    • Propuesto como respuesta Moderador M miércoles, 15 de abril de 2015 21:23
    • Marcado como respuesta Moderador M viernes, 24 de abril de 2015 15:57
    martes, 14 de abril de 2015 17:43

Todas las respuestas

  • Hola Vero,

    Efectivamente lo normal es deshabilitar el Administrator de dominio, y crear otra cuenta con permisos similares. Lo normal es hacer esto en la fase de instalación del entorno cuando aún no hay instalados otros productos.

    Si ahora decides hacerlo, tendrás que tener especial cuidado con la seguridad de tus OUs, por si existe algún permiso explícito para el user Administrator y replicarlo para el nuevo. El nuevo usuario ya sabes que debes incluirlo en los mismos grupos de los que sea miembro tu Administrator, con respecto a si afecta o no a los servicios ya desplegados no debería siempre y cuando los servicios de estas aplicaciones no estén corriendo con la cuenta Administrator del dominio (cosa no recomendada).

    Te dejo esta guía de Microsoft sobre como securizar las cuentas de tu DA https://technet.microsoft.com/en-us/library/cc700835.aspx#XSLTsection124121120120 Y este otro artículo muy interesante.

    https://technet.microsoft.com/es-es/magazine/2006.01.securitywatch(en-us).aspx

     



    Daniel Graciá - Madrid / España

    MCSA 2012, MCSA 2008, MCITP Enterprise Admin
    MCTS SCOM 2007, Windows Vista Configuration
    MCSA 2003 + Security, MCSE 2003 + Security
    MCP ISA SERVER 2000,ITIL Foundation v3

    El Blog de Dani Gracia
    Dani Gracia en Twitter
    Dani Gracia en LinkedIn

    • Propuesto como respuesta Moderador M miércoles, 15 de abril de 2015 21:23
    • Marcado como respuesta Moderador M viernes, 24 de abril de 2015 15:57
    martes, 14 de abril de 2015 17:43
  • Muchas gracias por la información una duda que me queda antes de aplicar el articulo al renombrar el usuario Administrador, el mismo dice que le cambiamos también en el (User Logon Name) y el  (User Logon Name Pre-Windows 2000), entonces para logearme como Administrador debo hacerlo con el nuevo (User Logon Name) o debe ser como Administrador simplemente?

    Muchas gracias por la ayuda

    jueves, 16 de abril de 2015 17:46
  • Si, debes cambiarlo en ambos con el mismo nombre que le vayas a poner a la cuenta, y acceder con ese nuev nombre de cuenta.

    Saludos



    Daniel Graciá - Madrid / España

    MCSA 2012, MCSA 2008, MCITP Enterprise Admin
    MCTS SCOM 2007, Windows Vista Configuration
    MCSA 2003 + Security, MCSE 2003 + Security
    MCP ISA SERVER 2000,ITIL Foundation v3

    El Blog de Dani Gracia
    Dani Gracia en Twitter
    Dani Gracia en LinkedIn

    jueves, 16 de abril de 2015 17:49
  • Una cosa adicional para poder realizar delegaciones en las OU`s, siempre debo hacerlo con el Administrador de dominio porque mi usuario que es Administrador del Dominio no le permite, esto quiere decir que el usuario Administrador esta comprometido?
    jueves, 16 de abril de 2015 17:51
  • Todo depende del tipo de seguridad que hayas implementado en el dominio, si nos has modificado los permisos por defecto con usuarios miembros del grupo Domain Admins tienes los privilegios suficientes para realizar las delegaciones.

    Saludos



    Daniel Graciá - Madrid / España

    MCSA 2012, MCSA 2008, MCITP Enterprise Admin
    MCTS SCOM 2007, Windows Vista Configuration
    MCSA 2003 + Security, MCSE 2003 + Security
    MCP ISA SERVER 2000,ITIL Foundation v3

    El Blog de Dani Gracia
    Dani Gracia en Twitter
    Dani Gracia en LinkedIn

    viernes, 17 de abril de 2015 6:54