none
Permisos usuarios RRS feed

  • Pregunta

  • Buenos días

    Tengo un dominio en w2003, heredado de hace muchos años y por lo tanto viene de NT y mucha basura que poco a poco ire limpiando, pero el problema me viene por otro lado y es que desde que se hizo la migración del directorio activo a 2003, todos los usuarios pueden agregar usuarios al dominio, cosa que antes no era posible. Supongo que la gente que lo hiciese tocaría permisos que le interesaría y ahora se han quedado así.

    He estado mirando los permisos de un usuario creado por defecto es usuarios del dominio, pero en la seguridad de este aparecen

    operador de cuentas con control total

    Administrador del dominio con control total

    adminstracion de empresas con control total.

    y alguna más, pero creo que aqui está el problema. ¿Donde puedo ver los permisos que se crean por defecto en los grupos de active directory? o bueno alguna otra solución que la gente con más experiencia me pueda dar.

     

    Saludos y muchas gracias.

    jueves, 19 de mayo de 2011 9:03

Respuestas

  • No hay problemas, no hay que disculparse, todo bien :-)

    Pero no me respondes lo que pregunté en el mensaje anterior

    Pego:
    ------------------------------
    ¿cómo es que lo hacen? ¿inician sesión en el DC? tienen instaladas las Herramientas Administrativas de Dominio en sus equipos?
    Si por favor puedes aclarar esto

    Y otra aclaración más, dices que haz estado mirando los permisos de los usuarios creados, pero pones a Operadores de Cuenta, Administrador del Dominio, Administrador de Empresas, "y algunas más" ¿qué es "algunas más"?
    ¿te refieres a permisos Avanzados/Especiales? ¿Haz revisado estos?

    -------------------------------

    Y necesito que me digas *exactamente* dónde estás mirando los permisos, porque no son los mismos, sobre el dominio, que sobre una unidad organizativa, un usuario, etc.

    De esa forma, te podría decir cuáles son los que deberían estar. Para tratar de hacerlo más sencillo, revisa los permisos avanzados sobre el Dominio (no en unidad organizativa), y dime cuáles aplican sobre "Usuario objetos" y "Este objeto y todos los secundarios"

     


    Guillermo Delprato - Buenos Aires, Argentina
    Visite Notas Windows Server
    MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.
    • Propuesto como respuesta Ismael Borche miércoles, 25 de mayo de 2011 16:02
    • Marcado como respuesta Ismael Borche jueves, 26 de mayo de 2011 16:00
    lunes, 23 de mayo de 2011 22:57
    Moderador

Todas las respuestas

  • He conseguido comparar con otro dominio 2003 y creo que en la pestaña seguridad, lo que yo comentaba aparece igual para el grupo de usuarios del dominio, asi que me ignorancia me impide ver el problema.

    Muchas gracias.

    jueves, 19 de mayo de 2011 9:53
  • Hola,

    el tipo de usuario y por lo tanto los privilegios que tiene ese usuario en tu red los debes verificar desde la cuenta de ese usuario dentro de la consola de gestion Usuarios y equipos de Active Directory en tu Servidor.

    Abre la consola, localiza el usuario y verifica a que grupos pertenece ( pestaña miembro de.. ), comentalos por aqui y verificamos sus privilegios, si sospechas que tiene demasiados privilegios es que posiblemente sea miembro del grupo de administradores de dominio...

    Mira y comentanos.

    Saludos

     


    MCITP: Server Administrator (Windows Server 2008) MCC - Microsoft Community Contributor 2011
    jueves, 19 de mayo de 2011 17:18
    Moderador
  • Que va, ese es el problema que no entiendo, los usuarios simplemente son miembros de Usuarios de dominio.

    Mi pregunta iba enfocada a saber si al grupo usuarios de dominio, habían podido ser modificado con algún privilegio mas que por defecto no tuvieran.

    viernes, 20 de mayo de 2011 8:12
  • Revisa si el grupo Usuarios del dominio es miembro de los grupos administradores de dominio y administradores de empresa.
    Un saludo

    Fernando Reyes [MS MVP]
    MCSA 2000/2003
    MCSE 2000/2003
    MCITP EnterpriseAdministrator
    Web: http://freyes.svetlian.com
    Blog: http://urpiano.wordpress.com
    RSS: http://urpiano.wordpress.com/feed/
    freyes.champú@champú.mvps.org
    (Aclárate la cabeza si quieres escribirme)
    viernes, 20 de mayo de 2011 8:39
    Moderador
  • Hola Fernando,

    He revisado lo que me comentas y el grupo usuarios de dominio pertenece a dos grupos: Acceso compatible con Pre-Winodws 2000 y CERTSVC_DCOM_ACCESS y he buscado estos dos grupos y ninguno de ellos pertenece a ningún otro grupo.

     

    lunes, 23 de mayo de 2011 11:06
  • cenrugi, veo que te están sucediendo "cosas raras" :-) y que los compañeros están tratando de ayudarte, pero yo tengo dudas con dos frases que pones, a ver si ayudo a aclarar.

    Dices " todos los usuarios pueden agregar usuarios al dominio". Los usuarios no se "agregan", sino que se "crean" ¿te refieres a esto? ¿cómo es que lo hacen? ¿inician sesión en el DC? tienen instaladas las Herramientas Administrativas de Dominio en sus equipos?
    Si por favor puedes aclarar esto

    Y otra aclaración más, dices que haz estado mirando los permisos de los usuarios creados, pero pones a Operadores de Cuenta, Administrador del Dominio, Administrador de Empresas, "y algunas más" ¿qué es "algunas más"?
    ¿te refieres a permisos Avanzados/Especiales? ¿Haz revisado estos?

     


    Guillermo Delprato - Buenos Aires, Argentina
    Visite Notas Windows Server
    MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.
    lunes, 23 de mayo de 2011 11:24
    Moderador
  • Disculpa por no explicarme correctamente,

     

    Efectivamente los usuarios se crean y yo a lo que me refiero es a las máquinas, que si que son las que se introducen al dominio. En este apartado espero haber aclarado mi mala explicación.

     

    En cuanto al segundo apartado que no me he explicado correctamente, me refiero a que en la consola de usuario y equipos del directorio activo marcando la pestaña de características avanzadas, aparece una pestaña que es seguridad en la cual como te decía aparecen esos grupos y alguno más que son bastantes pero son para todos iguales y en principio no tiene marcado nada de permisos especiales.

     

    Espero haber aclarado las dudas y disculpad las molestias.

    lunes, 23 de mayo de 2011 15:28
  • No hay problemas, no hay que disculparse, todo bien :-)

    Pero no me respondes lo que pregunté en el mensaje anterior

    Pego:
    ------------------------------
    ¿cómo es que lo hacen? ¿inician sesión en el DC? tienen instaladas las Herramientas Administrativas de Dominio en sus equipos?
    Si por favor puedes aclarar esto

    Y otra aclaración más, dices que haz estado mirando los permisos de los usuarios creados, pero pones a Operadores de Cuenta, Administrador del Dominio, Administrador de Empresas, "y algunas más" ¿qué es "algunas más"?
    ¿te refieres a permisos Avanzados/Especiales? ¿Haz revisado estos?

    -------------------------------

    Y necesito que me digas *exactamente* dónde estás mirando los permisos, porque no son los mismos, sobre el dominio, que sobre una unidad organizativa, un usuario, etc.

    De esa forma, te podría decir cuáles son los que deberían estar. Para tratar de hacerlo más sencillo, revisa los permisos avanzados sobre el Dominio (no en unidad organizativa), y dime cuáles aplican sobre "Usuario objetos" y "Este objeto y todos los secundarios"

     


    Guillermo Delprato - Buenos Aires, Argentina
    Visite Notas Windows Server
    MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.
    • Propuesto como respuesta Ismael Borche miércoles, 25 de mayo de 2011 16:02
    • Marcado como respuesta Ismael Borche jueves, 26 de mayo de 2011 16:00
    lunes, 23 de mayo de 2011 22:57
    Moderador