none
Permisos de administración sobre Controladores de dominio RRS feed

  • Pregunta

  • Hola a todos,

    Me he encontado con un caso curioso (y grave...):

    En un dominio Active Directory, cualquier usuario del mismo, sea administrador o no, puede acceder a los controladores de dominio con permisos de administración, con lo que puede administrar el dominio a través de la herramienta administrativa. Esto solo ocurre con los DCs, ya que no puede campar a sus anchas en el resto de servidores del dominio.

    Esto me ha llevado a pensar que el problema se encuentra con GPO por defecto de los Controladores de Dominio. La he revisado y no he visto ninguna directiva que permita esta clase de permisos.

    A su vez, he detectado que los usuarios están heredando estos permisos del grupo de Builtin Administradores, ya que si lo quito de la ACL de cualquier directorio del servidor, ya no se le otorgan todos los permisos.

    Como he dicho antes, sospecho que el meollo de la cuestión está en la directiva de grupo que se aplica a los Controladores de Dominio.

    ¿Se os ocurre que directiva puede ser la que está causando esto?

    Gracias.

    lunes, 16 de marzo de 2009 17:38

Respuestas

  • Finalmente he encontrado el problema. La causa de todo era que la cuenta NETWORK perteneciente a NT AUTHORITY era miembro del grupo Administradores de Builtin. Esto ocasionaba que cualquier usuario que accediera a un controlador de dominio del modo que fuera era también administrador local de la máquina y de la base de datos de Directorio.

    Gracias por vuestra ayuda.
    • Marcado como respuesta Marcos López martes, 17 de marzo de 2009 10:09
    martes, 17 de marzo de 2009 10:03

Todas las respuestas

  • Los usuarios NO deben pertenecer al grupo Administradores del dominio, eso es todo.

    Las GPOs no dan permisos, a lo sumo otorgan derechos que es otra cosa.
    Sería muy raro pero por las dudas revisa que en la Default Domain Controllers policy, no estés usando Restricted Groups que sirva para automatizar la pertenencia en grupos.

    Yo más vale me inclino a pensar que tratando de poner a los usuarios en el gruppo *local* Administradores de cada equipo, los han puesto en el Administradores, pero del dominio.

    De todas formas, nunca es conveniente que los usuarios sean administradores.

    Guillermo Delprato - MVP-MCT-MCSE Buenos Aires, Argentina
    lunes, 16 de marzo de 2009 20:31
    Moderador
  • Hola Guillermo, gracias por tu rápida respuesta.

    Desgraciadamente la solución no es tan sencilla ya que eso está comprobado y, en el caso de que fuera así, tendrían acceso a cualqueir máquina del dominio y no es el caso.

    Estoy de acuerdo contigo en que la política de los controladores de dominio solo otorga derecho y es lo que me tiene más despistado. También había revisado los Restricted Groups y nada de nada.

    Estoy abierto a cualquier sugerencia. Gracias por ayudar.

    ;)
    lunes, 16 de marzo de 2009 21:08
  • Finalmente he encontrado el problema. La causa de todo era que la cuenta NETWORK perteneciente a NT AUTHORITY era miembro del grupo Administradores de Builtin. Esto ocasionaba que cualquier usuario que accediera a un controlador de dominio del modo que fuera era también administrador local de la máquina y de la base de datos de Directorio.

    Gracias por vuestra ayuda.
    • Marcado como respuesta Marcos López martes, 17 de marzo de 2009 10:09
    martes, 17 de marzo de 2009 10:03
  • No se me hubiera ocurrido jamás eso, que alguien metiera a esa cuent en ese grupo.
    Menos mal que lo encontraste :-DDD
    Guillermo Delprato - MVP-MCT-MCSE Buenos Aires, Argentina
    martes, 17 de marzo de 2009 15:31
    Moderador