none
Usuario de AD Windows 2003 server puede incorporar computadores al dominio estando solo en grupo domain users...¿como puedo saber de donde esta obteniendo los privilegios para ejecutar esta operación? RRS feed

  • Pregunta

  • Un usuario que solo es miembro de grupo domain users puede incorporar computadores al dominio, ¿como puedo saber de donde esta obteniendo los privilegios administrativos para poder ejecutar esta acción.
    Revise todos los grupos que pueden tener estos privilegios y no esta presente en ninguno de ellos (account operators, domain admins, administrators, etc.).

    Si alguien me puede ayudar....estare muy agradecido.....

    Saludos,
    jueves, 7 de mayo de 2009 13:10

Respuestas

  • Por omision un usuario puede agregar hasta 10 equipos en el contenedor Computers (que no es na Unidad Organizativa)

    Este privilegio lo está obteniendo desde la Default Domain Controllers Policy, en la rama: Configuración del equipo / Configuración de Windows / Configuración de seguridad / Directivas locales / Asignación de derechos de usuario.
    Hay un derecho que se llama "Agregar estaciones de trabajo al dominio" y está otorgado a "Usuarios Autentificados"


    Guillermo Delprato - MVP - MCT - MCSE - MCSA - MCTS:AD Buenos Aires, Argentina
    • Marcado como respuesta PCabrera viernes, 12 de junio de 2009 17:57
    jueves, 7 de mayo de 2009 19:18
    Moderador
  • Pedro , 

    El derecho tal cual lo dijo guillermo se encuentra en la default domain policy, mas alla de eso la propiedad MacchineAccountQuota es quien da el limite de 10 estaciones el cual puede ser modificada con adsiedit.



    Slds
    Sebastian el Rio

    Saludos. Colabora con el foro y vota si el mensaje es util.
    miércoles, 20 de mayo de 2009 11:13
    Moderador
  • Buenos dias Pedro , 

    Por que no solo delegas el Join machines al grupo Soporte Tecnico  ? 
    Puedes usarlo con el asistente de delegacion en Active Directory Users and Computers , o bien modificando los permisos directamente en LDP o ADSIEDIT. 

    PD : No encontre en este momento la nota que indica como hacerlo mediante el wizard de delegacion pero recuerdo que hay una KB para eso :)

    Delegating permissions

    You can use a tool such as Ldp.exe to delegate permissions to join workstations to a domain. As a best practice, you should delegate permissions to a group, and then add users to the group or remove them as needed.

    Membership in Domain Admins, or equivalent, is the minimum required to delegate permissions. Review details about using the appropriate accounts and group memberships at http://go.microsoft.com/fwlink/?LinkId=83477.

    To delegate permissions to join workstations to a domain
    1. Click Start, click Run, type ldp, and then click OK.

    2. Click Connection, click Connect, and in Server type the name of a domain controller. If you are logged on to a domain controller, you can type localhost. When you are done, click OK.

    3. Click Connection, click Bind, and then type the name and password of an account that is a member of the Domain Admins group. If you are logged on as a member of the Domain Admins group, click Bind as currently logged on user. Click OK.

    4. Click View, click Tree, select DC=<domain>, and then click OK.

    5. In the console tree, double-click DC=<domain>, right-click CN=Computers,DC=<domain>, click Advanced, click Security Descriptor, and then clickOK.

    6. Click Add ACE, type the name of the account that you want to be able to join workstations to the domain, select the Create Child check box, select theInherit check box, and in Object type, type computer – class, and then click Update.

       

      Slds
      Sebastian del Rio


    Sebastian del Rio. MCP - MCSA +S - MCSE +S - MCTS: AD - MCTS: ISA 2006 Buenos Aires - Argentina
    • Marcado como respuesta PCabrera viernes, 12 de junio de 2009 17:57
    jueves, 4 de junio de 2009 13:05
    Moderador

Todas las respuestas

  • Hola Cabrera, mira hasta donde yo conozco los usuarios predeterminados del dominio pueden pegar PC al Active Directory pero con un limite de 10 veces, esto viene asi por Default del propio Active Directory, despues de ahi solo los Administradores pueden hacerlo de forma ilimitada.
    Esta seguridad es propia de la OU COMPUTER (viene por default con la instalacion), la seguridad que toca es sobre el OBJETO COMPUTER del Active Directory, donde ahi podrias definir que grupo de AD o usuario tiene atributos para realizar cambios inlimitados sobre este objeto de seguridad.
    Es un poco complejo pero podrias probar y jugar en un ambiente de laboratorio, quitando los GRUPOS que viene por default en la solapa de SEGURIDAD de la OU COMPUTER y agregando unicamente algun grupo o usuario con control total, de ahi en mas ir jugando con los permisos sobre el objeto COMPUTER.

    Espero se hay a comprendido.
    Sdos
    Suerte.

    jueves, 7 de mayo de 2009 18:10
  • Por omision un usuario puede agregar hasta 10 equipos en el contenedor Computers (que no es na Unidad Organizativa)

    Este privilegio lo está obteniendo desde la Default Domain Controllers Policy, en la rama: Configuración del equipo / Configuración de Windows / Configuración de seguridad / Directivas locales / Asignación de derechos de usuario.
    Hay un derecho que se llama "Agregar estaciones de trabajo al dominio" y está otorgado a "Usuarios Autentificados"


    Guillermo Delprato - MVP - MCT - MCSE - MCSA - MCTS:AD Buenos Aires, Argentina
    • Marcado como respuesta PCabrera viernes, 12 de junio de 2009 17:57
    jueves, 7 de mayo de 2009 19:18
    Moderador
  • Gracias Guillermo.... buscando en Default Domain Controllers Policy encontré opción donde se restringuen los grupos que agregan estaciones de trabajo a Dominio.

    Saludos,
    • Marcado como respuesta PCabrera jueves, 7 de mayo de 2009 21:18
    • Desmarcado como respuesta PCabrera martes, 19 de mayo de 2009 18:06
    • Marcado como respuesta PCabrera martes, 19 de mayo de 2009 18:13
    • Desmarcado como respuesta PCabrera martes, 19 de mayo de 2009 18:13
    jueves, 7 de mayo de 2009 21:17
  • Estimados, realicé lo indicado por Guillermo, pero los usuarios del grupo incorporado en esta opción (Default Domain Controllers Policy) lograron incorporar solamente 10 computadores. ¿alguien sabe si existe otra opción que no se configurar la seguridad de los objetos (delegar control)?.


    Saludos,

    Pedro

    martes, 19 de mayo de 2009 18:13
  • Pedro , 

    El derecho tal cual lo dijo guillermo se encuentra en la default domain policy, mas alla de eso la propiedad MacchineAccountQuota es quien da el limite de 10 estaciones el cual puede ser modificada con adsiedit.



    Slds
    Sebastian el Rio

    Saludos. Colabora con el foro y vota si el mensaje es util.
    miércoles, 20 de mayo de 2009 11:13
    Moderador
  • Sebastian

    Realice lo que indicaste y funciono, pero solo en la localidad donde esta domain controller en el cual realice cambio, en las demas localidades no logro ingresar equipos al dominio con el mismo user.
    Ahora los cambios realizados fueron:
    Domain Controller Security Policy
      Security Settings
        Local Polices
          User Rights Assignment
            Add workstations to domain (aquí sume sume gurpo de soportes técnicos)

    esta bien Domain Controller Security Policy o debería ser Domain Security Policy?

    Saludos,
    Pedro

    miércoles, 20 de mayo de 2009 20:46
  • Pedro ,

    Esta bien Domain Controller Policy :) de todas maneras no entiendo , solo modificaste la politica o tambien modificaste el valor machineaccountquota ? Si los cambios replicaron correctamente deberia aplicarse en todo tu dominio. Asegurate de no tener incovenientes con la replicacion

    Slds
    Sebastian del Rio
    Saludos. Colabora con el foro y vota si el mensaje es util.
    jueves, 21 de mayo de 2009 2:59
    Moderador
  • Hola Sebastian, realice los cambios en:
    1) Domain Controller Security Policy
          Security Settings
            Local Polices
             User Rights Assignment
               Add workstations to domain (aquí sume sume gurpo de soportes técnicos)

    2) ADSI Edit
          DOMAIN
             DC=Dominio,DC=.xxx (boton derecho y en propiedades)
               parametro ms-DS-MachineAccountQuota, integer, xxx

    Esto me funciona solo en localidad (donde realice configuración), para el resto no funciona, solo los administradores del dominio pueden sumar equipos al dominio. Revise los parametros que modifique en los otros domain controllers y estos estan replicados.
    ¿que me estará faltando por configurar?, ¿replica puede estar con problemas?.


    Saludos,
    Pedro Cabrera
              
    martes, 26 de mayo de 2009 12:53
  • Hola Sebastian, hasta la fecha solo en una localidad puedo incorporar equipos al dominio con grupo que defini para esta tarea (también esta grupo domain admins), en las demás localidades esto no funciona. ¿que estará ocurriendo?, revise tema replica y aparentemente no existe nada extraño.


    Saludos,
    Pedro


    Si alguien me puede orientar estare muy agradecido.

    jueves, 4 de junio de 2009 12:10
  • Buenos dias Pedro , 

    Por que no solo delegas el Join machines al grupo Soporte Tecnico  ? 
    Puedes usarlo con el asistente de delegacion en Active Directory Users and Computers , o bien modificando los permisos directamente en LDP o ADSIEDIT. 

    PD : No encontre en este momento la nota que indica como hacerlo mediante el wizard de delegacion pero recuerdo que hay una KB para eso :)

    Delegating permissions

    You can use a tool such as Ldp.exe to delegate permissions to join workstations to a domain. As a best practice, you should delegate permissions to a group, and then add users to the group or remove them as needed.

    Membership in Domain Admins, or equivalent, is the minimum required to delegate permissions. Review details about using the appropriate accounts and group memberships at http://go.microsoft.com/fwlink/?LinkId=83477.

    To delegate permissions to join workstations to a domain
    1. Click Start, click Run, type ldp, and then click OK.

    2. Click Connection, click Connect, and in Server type the name of a domain controller. If you are logged on to a domain controller, you can type localhost. When you are done, click OK.

    3. Click Connection, click Bind, and then type the name and password of an account that is a member of the Domain Admins group. If you are logged on as a member of the Domain Admins group, click Bind as currently logged on user. Click OK.

    4. Click View, click Tree, select DC=<domain>, and then click OK.

    5. In the console tree, double-click DC=<domain>, right-click CN=Computers,DC=<domain>, click Advanced, click Security Descriptor, and then clickOK.

    6. Click Add ACE, type the name of the account that you want to be able to join workstations to the domain, select the Create Child check box, select theInherit check box, and in Object type, type computer – class, and then click Update.

       

      Slds
      Sebastian del Rio


    Sebastian del Rio. MCP - MCSA +S - MCSE +S - MCTS: AD - MCTS: ISA 2006 Buenos Aires - Argentina
    • Marcado como respuesta PCabrera viernes, 12 de junio de 2009 17:57
    jueves, 4 de junio de 2009 13:05
    Moderador
  • Hola Sebastian, hasta la fecha solo en una localidad puedo incorporar equipos al dominio con grupo que defini para esta tarea (también esta grupo domain admins), en las demás localidades esto no funciona. ¿que estará ocurriendo?, revise tema replica y aparentemente no existe nada extraño.


    Saludos,
    Pedro


    Si alguien me puede orientar estare muy agradecido.


    En las otras localidades ¿es el mismo dominio o son subdominios?

    Si es el mismo dominio, puede ser que tengas problemas de replicación entre los controladores de dominio

    Si son otros dominios, el cambio hay que hacerlo en cada dominio.

    Guillermo Delprato - MVP - MCT - MCSE - MCSA - MCTS:AD Buenos Aires, Argentina
    jueves, 4 de junio de 2009 17:59
    Moderador
  • Totalmente de acuerdo con Guillermo , se que dijiste en un post anterior que no has encontrado problemas con la replica , pero seria bueno hacer un double check sobre este incoveniente. 

    Guillermo : Te he robado el formato de la firma :)

    Slds
    Sebastian del Rio

    Sebastian del Rio. MCP - MCSA +S - MCSE +S - MCTS: AD - MCTS: ISA 2006 Buenos Aires - Argentina
    jueves, 4 de junio de 2009 18:01
    Moderador
  •    :-)
    Guillermo Delprato - MVP - MCT - MCSE - MCSA - MCTS:AD Buenos Aires, Argentina
    jueves, 4 de junio de 2009 18:12
    Moderador
  • Hola Guillermo, es un solo dominio.


    Saludos,
    Pedro
    viernes, 5 de junio de 2009 16:58
  • Entonces seguramente hay problemas de replicación entre los controladores de dominio.
    Dices que lo haz revisado ¿cómo?
    Guillermo Delprato - MVP - MCT - MCSE - MCSA - MCTS:AD Buenos Aires, Argentina
    viernes, 5 de junio de 2009 19:57
    Moderador
  • Hola Guillermo, he revisado las replicas con herramienta administrativa Active Directory Sites and Services.

    ¿Debo revisar con otra herramienta o utilitario?,
    Aprovecho de preguntar si es normal que en Active Directory Sites and Services algunas conexiones de sitios se muestren con serie de números como ej. dfaa8d66-a2d7-.....

    Saludos,
    Pedro
    martes, 9 de junio de 2009 19:53
  • No, no es normal. Eso indica un problema probable en la resolución de nombres.

    Que estén creados los objetos conexión, no implica que esté replicando. Y si además aparecen con "nombre raro" en lugar de <automatically generated> es otro síntoma

    Para saber si realmente está replicando entre sitios puedes usar, por ejemplo, el Replication Monitor de las Support Tools de W2003

    Revisa la configuración de DNS. Dando por sentado que todos los controladores de dominio son W2033 (no 2000) cada controlador de dominio que tenga el servicio DNS instalado, debe tener como DNS preferido a sí mismo, y como alternativo a otro. *Nunca* deben tener configurado en las conexiones de red, a un DNS del ISP

    Para verificar la resolución de nombres, trata en cada DC de resolver los nombres de los otros dos utlizando NSLOOKUP

    Guillermo Delprato - MVP - MCT - MCSE - MCSA - MCTS:AD Buenos Aires, Argentina
    jueves, 11 de junio de 2009 21:13
    Moderador