none
Delegación de Control RRS feed

  • Pregunta

  • Buenos dias !

    Esto queriendo delegarle algunas funciones a grupos de usuarios como crear cuentas en el dominio, pero lo que no quiero es que las puedan borrar, pero si mover de OU para que se apliquen las GPO correspondiente.

    Alguien sabe como hacer que si puedan mover de OU pero no borrar las cuentas ?

    Estuve revisando las Active_Directory_Delegation_Appendices.doc y dice que atributos tocar pero si lo habilitas tambien te deja borrar.

    Alguna sugerencia ?

    Slds y gracias !


    Sebastian
    martes, 8 de junio de 2010 14:48

Respuestas

  • Hola Sebastián, algunas consideraciones a tener en cuenta.

    Cuando un usuario crea un objeto, cualquiera desde un archivo hasta un usuario, es el Propietario (Owner) del mismo.
    Y al ser el propietario tiene Control Total sobre éste.
    Esto es un requerimiento de las certificaciones internacionales de seguridad, así que salvo que manualmente le cambies el Propietario y cambies los permisos, siempre podrá hacer lo que quiera con lo que él mismo creó.

    Mover de una OU a otra, implica poder borrar en la OU de origen, y poder crear en la OU de destino. Luego, si puede mover, puede borrar en el origen

    Si quieres tener control, es más complicado pero puedes habilitar auditoría sobre las OUs. Con eso ya puedes saber "quién fue" y luego recuperar desde una copia de seguridad.

     


    Guillermo Delprato - MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration --- Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos. --- Buenos Aires, Argentina
    martes, 8 de junio de 2010 14:57
    Moderador
  • Los permisos efectivos, son la combinación (suma) de todos, salvo que siempre prevalecen los de Denegación.

    No pasa nada si le modificas los permisos a Account Operators, aunque te recomiendo que documentes bien cuáles le sacas así en cualquier momeno, si necesitas, puedes dejar todo como está.

    De todas formas ese cambio, no permite lo que pides en la pregunta inicial :-)

    En general, lo recomendado actualmente, es usar la delegación, más que usar esos grupos predefinido, que están por comatibilidad con sistemas anteriores, y en general tienen demasiados privilegios.
    Con Delegación es todo mucho más controlable.

     


    Guillermo Delprato - MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration --- Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos. --- Buenos Aires, Argentina
    miércoles, 9 de junio de 2010 14:22
    Moderador

Todas las respuestas

  • Hola Sebastián, algunas consideraciones a tener en cuenta.

    Cuando un usuario crea un objeto, cualquiera desde un archivo hasta un usuario, es el Propietario (Owner) del mismo.
    Y al ser el propietario tiene Control Total sobre éste.
    Esto es un requerimiento de las certificaciones internacionales de seguridad, así que salvo que manualmente le cambies el Propietario y cambies los permisos, siempre podrá hacer lo que quiera con lo que él mismo creó.

    Mover de una OU a otra, implica poder borrar en la OU de origen, y poder crear en la OU de destino. Luego, si puede mover, puede borrar en el origen

    Si quieres tener control, es más complicado pero puedes habilitar auditoría sobre las OUs. Con eso ya puedes saber "quién fue" y luego recuperar desde una copia de seguridad.

     


    Guillermo Delprato - MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration --- Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos. --- Buenos Aires, Argentina
    martes, 8 de junio de 2010 14:57
    Moderador
  • Hola Guillermo,

    Revisando la seguridad de las OU vi que el grupo Account Operator tiene permisos de crear/borrar cuentas de usuarios, máquinas y Grupos.

    A los usuarios que le estoy delegando el control (Help Desk) de resetear/cambiar password y desbloquear usuarios están dentro de ese grupo, por lo que veo que se queda con lo permisos de mas privilegios.

    Que pasa si al grupo account operator le saco los permisos ? o solo les dejo los de crear cuentas de maquinas, sacandole las cuentas de maquinas y grupos.

    Desde ya muchas gracias !

     


    Sebastian
    miércoles, 9 de junio de 2010 12:26
  • Los permisos efectivos, son la combinación (suma) de todos, salvo que siempre prevalecen los de Denegación.

    No pasa nada si le modificas los permisos a Account Operators, aunque te recomiendo que documentes bien cuáles le sacas así en cualquier momeno, si necesitas, puedes dejar todo como está.

    De todas formas ese cambio, no permite lo que pides en la pregunta inicial :-)

    En general, lo recomendado actualmente, es usar la delegación, más que usar esos grupos predefinido, que están por comatibilidad con sistemas anteriores, y en general tienen demasiados privilegios.
    Con Delegación es todo mucho más controlable.

     


    Guillermo Delprato - MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration --- Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos. --- Buenos Aires, Argentina
    miércoles, 9 de junio de 2010 14:22
    Moderador