none
Habilitan usuarios del dominio desde la red RRS feed

  • Pregunta

  • Buenas tardes!

    Tengo un inconveniente en un dominio, ejemplo: Tengo un usuario llamado (SOPORTE) con derechos administrativos dicho usuario lo deshabilito en (ACTIVE DIRECTORY) pero usuarios con conocimientos avanzados violan la seguridad del dominio y habilitan el usuario (SOPORTE) o cualquier otro usuario incluso le resetean la clave al usuario, la pregunta es: Como puedo controlar de forma mas eficiente la restricción al (ACTIVE DIRECTORY) y que nadie con software de terceros puedan violar la seguridad de ACTIVE DIRECTORY.

    Gracias por el apoyo que puedan brindarme.

    Saludos!

    jueves, 16 de marzo de 2017 16:43

Respuestas

  • Hola Danielg02, no lo tomes a mal, pero no vulneran la seguridad de Active Directory, lo que burlan es la configuración que haz hecho, y que nunca se debe manejar de esa forma

    Si tienen que hacer tareas administrativas en máquinas cliente del Dominio, entonces y ya es un riesgo grande, deben ser *administradores locales* de dichas máquinas, y *nunca* administradores del Dominio

    El procedimiento usual, si obligatoriamente deben ser administradores de las máquinas cliente, es crear el grupo "Soporte" y mediante GPO usando Grupos Restringidos, incluirlos en el grupo local de cada estación de trabajo

    Por más que deshabilites el usuario, si ya tiene sesión inciado sigue con su sesión, así que eso no sirve a los efectos que buscas

    Deberías revisar en los grupos administrativos del Dominio, qué cuentas de usuario hay, y quitar las que no correspondan

    Y que todos los administradores del Dominio cambien su contraseña, porque también puede ser posible que la hayan adivinado de alguna forma

    No alcanzan "conocimientos avanzados de usuario" para poner en peligro la seguridad de Active Directory, salvo que no se usen las configuraciones correctas y recomendadas

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    • Propuesto como respuesta Moderador M lunes, 20 de marzo de 2017 16:45
    • Marcado como respuesta Moderador M martes, 21 de marzo de 2017 15:11
    jueves, 16 de marzo de 2017 20:15
    Moderador

Todas las respuestas

  • Los usuarios no pueden ser administradores del Dominio, esa es la única solución, mientras sean administradores no puedes limitarle nada, cualquier privilegio que le saques simplemente se lo volverán a dar

    Si lo que necesitan es instalar aplicaciones en las máquinas cliente, entonces tienen que ser administradores locales de esas máquinas, nunca administradores del Dominio. E inclusive de esta forma ten en cuenta que tendrán control total sobre las máquinas cliente

    Si hay otro motivo por el que sean administradores, comenta para ver posibles soluciones

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    jueves, 16 de marzo de 2017 19:04
    Moderador
  • Buenas tardes Guillermo!

    Entiendo perfectamente que los usuarios no pueden tener privilegios de administrador, el detalle radica que hay usuarios en la empresa con conocimientos avanzados de informática y logran entrar o burlar la seguridad del Active Directory.

    Como comente anteriormente, tengo un usuario llamado (SOPORTE) dicho usuario solo lo habilito cuando se va a realizar alguna actividad en las estaciones de trabajo y cuando no se realiza ninguna actividad el usuario lo deshabilito por seguridad, pero hay usuarios en la empresa con conocimientos avanzados de informática y logran entrar o burlar la seguridad del Active Directory, no entiendo como logran entrar al DC sino tienen privilegios administrativos.

    Saludos!

    jueves, 16 de marzo de 2017 19:52
  • Hola Danielg02, no lo tomes a mal, pero no vulneran la seguridad de Active Directory, lo que burlan es la configuración que haz hecho, y que nunca se debe manejar de esa forma

    Si tienen que hacer tareas administrativas en máquinas cliente del Dominio, entonces y ya es un riesgo grande, deben ser *administradores locales* de dichas máquinas, y *nunca* administradores del Dominio

    El procedimiento usual, si obligatoriamente deben ser administradores de las máquinas cliente, es crear el grupo "Soporte" y mediante GPO usando Grupos Restringidos, incluirlos en el grupo local de cada estación de trabajo

    Por más que deshabilites el usuario, si ya tiene sesión inciado sigue con su sesión, así que eso no sirve a los efectos que buscas

    Deberías revisar en los grupos administrativos del Dominio, qué cuentas de usuario hay, y quitar las que no correspondan

    Y que todos los administradores del Dominio cambien su contraseña, porque también puede ser posible que la hayan adivinado de alguna forma

    No alcanzan "conocimientos avanzados de usuario" para poner en peligro la seguridad de Active Directory, salvo que no se usen las configuraciones correctas y recomendadas

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    • Propuesto como respuesta Moderador M lunes, 20 de marzo de 2017 16:45
    • Marcado como respuesta Moderador M martes, 21 de marzo de 2017 15:11
    jueves, 16 de marzo de 2017 20:15
    Moderador
  • Gracias Guillermo!

    Tomare en cuenta las observaciones con respecto a los grupos locales de las estaciones de trabajo.

    Saludos!

    jueves, 16 de marzo de 2017 20:25