locked
Usuario de dominio pueden ver todo mi Active Directory (AD) RRS feed

  • Question

  • Hola tengo un Active Directory de alrededor 150 usuarios. Los cuales estan divididos en OU de diferentes paises. Hoy me solicitaron que debo Delegar control de reseto de contraseñas a un tecnico en Panamá,por ejemplo. La delegacion la hice sobre Usuarios y computadoras Directo en la OU de Panama con los permisos de reseto de password y lectura de perfil del usuario.

    Haciendo la prueba con el usuario que tiene permisos de delegacion habro las herramientas RSAT (Users and computer) y he notado que puedo leer absolutamente todo el active directory. Los cambios de contraseñas solo los puedo aplicar a la OU que yo estableci, pero este usuario puede ver toda la estructura. Mas alla de eso hice la misma prueba pero estando logueado con un usuario standard. Eso es algo que me preocupa porque cualquier usuario puede descargarse las herramientas RSAT y ve toda la informacion que tengo en Active Directory.

    Hay alguna manera de poder restringir esta visualizacion de informacion?

    Gracias!


    Pablo Barrientos

    Friday, November 20, 2015 6:48 PM

Answers

  • Hola Pablo, teniendo la configuración que todos los usuarios son administradores locales pienso que no lo podrás hacer como te propones. Además que esa configuración puede traer problemas graves de seguridad

    Para que AD funcione adecuadamente no hay forma de sacarle permisos de lectura sobre AD a los usuarios. Lo único que se me ocurre es que le puedas hacer un script que le ponga como parámetros nombre y contraseña

    Una búsqueda en el siguiente enlace seguro encontrarás script para lo que buscas

    http://gallery.technet.microsoft.com/

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    Monday, November 23, 2015 9:53 AM
    Moderator
  • Buenas Pablo, 

    justo tengo el mismo problema o tenia. Genere un grupo y usuario dentro de una OU especifica. Pero cuando entran por mmc o por administrative tools pueden ver todo el arbol de dominio y su contenido. La solución que encontré fue tratar a las OU como si fuesen carpetas. Todas las OU dentro del arbol de dominio tienen una solapa de seguridad en la cual agregue al grupo de acceso y le denegue todo salvo en la OU a la que pertenece. Es engorroso ya que lo tenes que hacer con todo lo que tenes en el arbol del dominio. Lo probé y me funciono. Aun siendo administrador local de la pc cliente del dominio. Se que la solución es un tanto tardía pero hace poco que empece a administrar un dominio y me voy encontrando con problemas que otros ya pasaron. En fin. Si a través de tu pregunta puedo ayudar a otro genial. 

    slds

    Christian Etchegaray

    Friday, March 13, 2020 4:31 PM

All replies

  • Hola Pablo, todo depende cómo accede el usario a la consola, si por Escritorio Remoto, si tiene las RSAT localmente, etc.

    Por instalación de las RSAT, tiene que ser administrador local, de otra forma no podrá instalarlas por sí mismo, y "como todos sabemos..." un usuario no debe ser admin local

    Lo que pide es algo un poco complicado, porque es necesario que los usuarios tengan permiso de lectura sobre el AD para que, entre otras cosas puedan iniciar sesión, aplicación de GPOs, etc

    Teniendo localmente las RSAT instaladas puedes crearle una consola (MMC) enfocada sólo en la OU que tiene que administrar, y en la configuración de la misma tienes la opción para que no pueda modificarla, y quitarle muchas de las opciones. Aunque en realidad si es un "usuario ingenioso" puede saltarse todo

    Otra opción, que seguramente lo "desorientará" un poco, es algo que no parece una consola y que se llama "Taskpad View", revisa este enlace a ver si te sirve

    La Vista del Cuadro de Tareas (“Taskpad Views”) ¿Sabe Qué Es y Como Crearlas? | WindowServer:
    https://windowserver.wordpress.com/2014/07/10/la-vista-del-cuadro-de-tareas-taskpad-views-sabe-qu-es-y-como-crearlas/


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    Friday, November 20, 2015 9:21 PM
    Moderator
  • Estuve revisando el link y me resulto util.

    Lo que necesito hacer es exactamente eso, delegar permiso de Password Reset y Read all user information sobre una OU. 

    Todos los usuarios de la organizacion son Admin Locales de sus maquinas. Por lo tanto cada uno se puede instalar las herramientas RSAT si lo desean. Mi miedo es que al correr cualquier aplicacion por ej. "User and Computers" pueden leer todo el active directory. Donde hay cuentas deshabiltadas, cuentas confidenciales(nadie sabe que existen) y demas..

    Este usuario va a utilizar RSAT y me gustaria que no pueda ver toda la informacion de los demas usuarios. Sino que el vea solo la OU que lo digo. Se entiende? Lo que quiero es limitar la vista para cualquier usuario que se pueda llegar a instalar las herramientas RSAT y ve todo mi AD. 

    Es posible hacer eso que yo digo? Hay que hacerlo a traves de GPO?

    Gracias por tu tiempo


    Pablo Barrientos

    Friday, November 20, 2015 11:17 PM
  • Hola Pablo, teniendo la configuración que todos los usuarios son administradores locales pienso que no lo podrás hacer como te propones. Además que esa configuración puede traer problemas graves de seguridad

    Para que AD funcione adecuadamente no hay forma de sacarle permisos de lectura sobre AD a los usuarios. Lo único que se me ocurre es que le puedas hacer un script que le ponga como parámetros nombre y contraseña

    Una búsqueda en el siguiente enlace seguro encontrarás script para lo que buscas

    http://gallery.technet.microsoft.com/

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    Monday, November 23, 2015 9:53 AM
    Moderator
  • Buenas Pablo, 

    justo tengo el mismo problema o tenia. Genere un grupo y usuario dentro de una OU especifica. Pero cuando entran por mmc o por administrative tools pueden ver todo el arbol de dominio y su contenido. La solución que encontré fue tratar a las OU como si fuesen carpetas. Todas las OU dentro del arbol de dominio tienen una solapa de seguridad en la cual agregue al grupo de acceso y le denegue todo salvo en la OU a la que pertenece. Es engorroso ya que lo tenes que hacer con todo lo que tenes en el arbol del dominio. Lo probé y me funciono. Aun siendo administrador local de la pc cliente del dominio. Se que la solución es un tanto tardía pero hace poco que empece a administrar un dominio y me voy encontrando con problemas que otros ya pasaron. En fin. Si a través de tu pregunta puedo ayudar a otro genial. 

    slds

    Christian Etchegaray

    Friday, March 13, 2020 4:31 PM
  • Hola christian977

     

    Gracias por tu respuesta en los foros de TechNet. Te comunico que este hilo pasará a estar cerrado debido a la antigüedad que tiene. Si deseas formular una pregunta o consulta similar a esta o una nueva, abre un nuevo hilo por favor.

     

    Igualmente, te agradecemos mucho tu respuesta y colaboración

     

    Cualquier duda referente a productos Microsoft, puedes consultarnos. Es un gusto informarte.

    Gracias por usar los foros de TechNet.

     

     

    Miguel Mosquera

     

    --------------------------------------------------------------------------

     

    Por favor recuerde "Marcar como respuesta" las respuestas que hayan resuelto su problema, es una forma común de reconocer a aquellos que han ayudado, y hace que sea más fácil para los otros visitantes encontrar la solución más tarde. 

     

    Microsoft ofrece este servicio de forma gratuita, con la finalidad de ayudar a los usuarios y la ampliación de la base de datos de conocimientos relacionados con los productos y tecnologías de Microsoft.  

     

    Este contenido es proporcionado "tal cual" y no implica ninguna responsabilidad de parte de Microsoft.

    Friday, March 13, 2020 4:51 PM
    Moderator