dudas privilegios administrador y políticas

20/04/2009 - 17:44 por arb2000 | Informe spam
Hola a todos, tengo un problema. Se trata de cambiar la forma de
trabajo de una organización.

La situación es la siguiente. Directorio activo con 15 usuarios.

Por motivos de seguridad y operativa diaria, las conexiones en remoto
se realizan a través de una VPN (sonicwall) pero con las credenciales
“administrador” de Windows (para poder tener control total sobre
programas, etc…).

Por problemas de seguridad se quiere restringir el acceso a una serie
de carpetas ya definida, a ese usuario administrador.

Para ello hemos creado una nueva cuenta dentro del grupo
administradores y la hemos agregado en la pestaña seguridad de las
carpetas (d:\datos\usuarios\XXXX) con control total.

El trabajo de copia de seguridad también se cambiará para que utilice
esas credenciales y pueda acceder a esas carpetas.

Mi pregunta es, cómo debo degradar la cuenta administrador para que
tan sólo no pueda acceder al contenido de esas carpetas.

Aprovechando la circunstancia y que te veo bastante puesto en el tema,
te comento un par de cosas.

Quiero aprovechar para quitar la política de sincronización y de paso,
por medio de políticas, que los usuarios no puedan utilizar ni
Ejecutar – ni Mis Sitios de Red.

Vamos, que una vez que el usuario tiene mapeadas sus unidades de red
correspondientes (software gestión y su carpeta en servidor) que no
pueda “moverse” por el resto de carpetas, ni siquiera con las
credenciales de administrador.

Por cierto el usuario no debe cambiar de contraseña pues por alguna
extraña razón “deben” seguir entrando de la misma manera, para que
parezca que no ha pasado nada.

Muchas gracias por adelantado,
Un cordial saludo
Angel Ramírez

Preguntas similare

Leer las respuestas

#1 Cristian Barrios
20/04/2009 - 20:02 | Informe spam
Buenos dias Angel

Primero me parece muy raro que necesiten correr programas como administrador
( sopongo que es administrador local y no del dominio)
Las carpetas a las cuales se quiere restringir el acceso estan en un File
Server o son locales?
Para eliminar el boton Ejecutar y Mis sitios de Red los podes realizar desde
una GPO.


Saludos

Cristian Barrios
MCSA


"arb2000" escribió en el mensaje
news:
Hola a todos, tengo un problema. Se trata de cambiar la forma de
trabajo de una organización.

La situación es la siguiente. Directorio activo con 15 usuarios.

Por motivos de seguridad y operativa diaria, las conexiones en remoto
se realizan a través de una VPN (sonicwall) pero con las credenciales
“administrador” de Windows (para poder tener control total sobre
programas, etc…).

Por problemas de seguridad se quiere restringir el acceso a una serie
de carpetas ya definida, a ese usuario administrador.

Para ello hemos creado una nueva cuenta dentro del grupo
administradores y la hemos agregado en la pestaña seguridad de las
carpetas (d:\datos\usuarios\XXXX) con control total.

El trabajo de copia de seguridad también se cambiará para que utilice
esas credenciales y pueda acceder a esas carpetas.

Mi pregunta es, cómo debo degradar la cuenta administrador para que
tan sólo no pueda acceder al contenido de esas carpetas.

Aprovechando la circunstancia y que te veo bastante puesto en el tema,
te comento un par de cosas.

Quiero aprovechar para quitar la política de sincronización y de paso,
por medio de políticas, que los usuarios no puedan utilizar ni
Ejecutar – ni Mis Sitios de Red.

Vamos, que una vez que el usuario tiene mapeadas sus unidades de red
correspondientes (software gestión y su carpeta en servidor) que no
pueda “moverse” por el resto de carpetas, ni siquiera con las
credenciales de administrador.

Por cierto el usuario no debe cambiar de contraseña pues por alguna
extraña razón “deben” seguir entrando de la misma manera, para que
parezca que no ha pasado nada.

Muchas gracias por adelantado,
Un cordial saludo
Angel Ramírez
Respuesta Responder a este mensaje
#2 inyakigil
21/04/2009 - 23:48 | Informe spam
On 20 abr, 20:02, "Cristian Barrios" wrote:
Buenos dias Angel

Primero me parece muy raro que necesiten correr programas como administrador
( sopongo que es administrador local y no del dominio)
Las carpetas a las cuales se quiere restringir el acceso estan en un File
Server o son locales?
Para eliminar el boton Ejecutar y Mis sitios de Red los podes realizar desde
una GPO.

Saludos

Cristian Barrios
MCSA

"arb2000" escribió en el mensajenews:
Hola a todos, tengo un problema. Se trata de cambiar la forma de
trabajo de una organización.

La situación es la siguiente. Directorio activo con 15 usuarios.

Por motivos de seguridad y operativa diaria, las conexiones en remoto
se realizan a través de una VPN (sonicwall) pero con las credenciales
“administrador” de Windows (para poder tener control total sobre
programas, etc…).

Por problemas de seguridad se quiere restringir el acceso a una serie
de carpetas ya definida, a ese usuario administrador.

Para ello hemos creado una nueva cuenta dentro del grupo
administradores y la hemos agregado en la pestaña seguridad de las
carpetas (d:\datos\usuarios\XXXX) con control total.

El trabajo de copia de seguridad también se cambiará para que utilice
esas credenciales y pueda acceder a esas carpetas.

Mi pregunta es, cómo debo degradar la cuenta administrador para que
tan sólo no pueda acceder al contenido de esas carpetas.

Aprovechando la circunstancia y que te veo bastante puesto en el tema,
te comento un par de cosas.

Quiero aprovechar para quitar la política de sincronización y de paso,
por medio de políticas, que los usuarios no puedan utilizar ni
Ejecutar – ni Mis Sitios de Red.

Vamos, que una vez que el usuario tiene mapeadas sus unidades de red
correspondientes (software gestión y su carpeta en servidor) que no
pueda “moverse” por el resto de carpetas, ni siquiera con las
credenciales de administrador.

Por cierto el usuario no debe cambiar de contraseña pues por alguna
extraña razón “deben” seguir entrando de la misma manera, para que
parezca que no ha pasado nada.

Muchas gracias por adelantado,
Un cordial saludo
Angel Ramírez


buenas noches ángel.
como comenta el amigo cristian esas configuraciones se deben realizar
mediante políticas.para el tema de los accesos
tendríamos que redifinir las acl's ntfs dentro del árbol de
directorios que quieras o que no vean de manera explícita, ya que al
estar dentro del grupo administradores por defecto tienen control
total, yo suelo utilizar ntfs para restringir el acceso en vez de
utilizar las acl's de recursos compartidos, recuerda que siempre
puedes auditar los accesos, inicios de sesión en la red
para el tema de la copia de seguridad, yo por ejemplo crearía otro
cuenta de usuario distinta y la introduciría en el grupo de seguridad
"operadores de copia"
saludos
email Siga el debate Respuesta Responder a este mensaje
Ads by Google
Help Hacer una preguntaRespuesta Tengo una respuesta
Search Busqueda sugerida