none
Heredacion de Permisos sobre Active Directory RRS feed

  • Pregunta

  • Hola buenos dias, tengo un windows server 2003, y coloque un permiso sobre la OU del dominio donde tengo todos los objetos y usuarios, el permiso se heredo a todos y funciono perfectamente, excepto que tengo 5 usuarios que no heredaron los permisos, me fije y no tenian el tilde de heredacion, se los active, heredaron los permisos pero luego de un rato me desaparece el tilde y se me desheredan los permisos, alguien tiene idea que puede ser eso? es un problema muy molesto y no lo puedo solucionar, tmb pobre poniendo el permiso a mano y tmp dio resultado, tmb me borra ese permiso, Muchas gracas por sus futuras respuestas
    viernes, 15 de julio de 2011 19:28

Respuestas

  • Hola buenos días,

     

    Recientemente me sucedió algo similar en mi empresa.

    Esos usuarios directa o indirectamente son miembros de grupos de seguridad protegidos a nivel de AD.

    Las cuentas que se consideran “especiales” o protegidas son las que pertenecen a los siguientes grupos:

     

    • Enterprise Admins
    • Schema Admins
    • Domain Admins
    • Administrators
    • Account Operators
    • Server Operators
    • Print Operators
    • Backup Operators
    • Cert Publishers

    Este comportamiento se describe en el siguiente artículo:

     

    817433 Delegated permissions are not available and inheritance is automatically disabled

     

    Bien, y ahora ¿qué hacemos para resolver el problema?

     

    En el propio artículo se explican las diferentes alternativas posibles para establecer los permisos deseados sobre usuarios/grupos que pertenezcan a grupos protegidos:

     

    1. Sacar al usuario/grupo sobre el que se resetean los permisos de los grupos protegidos a los que pertenezca. Esta opción es la más recomendable, ya que entonces se establecerían los permisos deseados sobre una cuenta de usuario común y no sobre un usuario que pertenece a un grupo protegido (y sobre el que teóricamente y por razones de seguridad no deberíamos modificar los permisos).

     

    2. Evitar que el proceso monitorice alguno de los grupos protegidos (únicamente se pueden excluir Account Operators, Server Operators, Print Operators y Backup Operators) dejándolos de esa manera “desprotegidos” del chequeo de las ACLs. Esta opción sería probablemente la más adecuada si fuera necesario asignar permisos para un usuario sobre otros usuarios que deben pertenecer a alguno de estos grupos protegidos, pero deben considerarse los riesgos que se van a tomar.

     

    3. Modificar la ACL del contenedor AdminSDHolder para adecuarla a la configuración deseada sobre los usuarios miembros de grupos protegidos (se establecería esta configuración de seguridad para todos los usuarios/grupos pertenecientes a cualquiera de los grupos protegidos). En este caso, habría que tener en cuenta que el usuario al que estáis otorgando los permisos tendría esos permisos sobre todos los grupos/usuarios protegidos, con los riesgos que ello implica.

     

    4. Habilitar la herencia en las propiedades del contenedor AdminSDHolder de tal manera que los usuarios que pertenezcan a cualquiera de estos grupos protegidos hereden la configuración de seguridad de los contenedores en los que estén ubicados (con todo lo que ello conlleva, ya que podrían establecerse permisos sobre estos objetos de usuario para otros usuarios a los que no se les quiere o no se les debería dar esta capacidad == un usuario del HelpDesk podría tener permiso para resetear la contraseña de un Domain Admin, por ejemplo).


    Salu2!, Dani Gracia - Madrid España MCSA/MCSE 2003 Security MCITP: Enterprise Administrator (Windows Server 2008) MCTS: System Center Operations Manager 2005 MVA: Microsoft Virtual Academy MAP: Microsoft Active Professional (2010/2011)
    • Marcado como respuesta Ismael Borche martes, 2 de agosto de 2011 22:01
    domingo, 31 de julio de 2011 10:33