Restriccion de cuentas de administradores y usuarios con privilegios elevados

17/06/2008 - 21:27 por Francisco Cangrejo | Informe spam
Estimados Amigos,

He implementado en un dominio una politica por la cual se concede ciertos
permisos a nuevas cuentas de usuarios comunes, dedicadas al personal de
sistemas, y que tienen como fin primero abandonar el uso de cuentas con
privilegios de "Admins. del Dominio" para el uso de tareas diarias.

Las cuentas nuevas pertenecen al grupo de "usuarios del dominio" y tienen en
adicion (lo he configurado en la "default domain controller policy" por
motivos de conflictos) los siguientes privilegios:

- Agregar estaciones de trabajo al dominio
- Apagar el equipo
- Cambiar la hora del sistema
- Cargar y descargar controladores de dispositivos
- Permitir inicio de sesion a traves de servicios de terminal server
- Hacer copia de seguridad de archivos y directorios
- Restaurar archivos y directorios
- Tomar posesion de archivos y otros objetos

Logicamente luego de aplicar estos permisos a los usuarios nada funciono
hasta que volvio a aplicar las politicas. Luego de eso, ninguno de los
usuarios podia acceder por escritorio remoto, a menos que lo incluya en el
grupo "Usuarios de escritorio remoto". Haciendo troubleshooting y algunas
pruebas, verifique que no podria iniciar sesion por terminal si no agregaba
al usuario en la solapa "Seguridad" en las propiedades de la conexion
RDP-tcp en TSCC y le asignaba los permisos requeridos. Pregunta: Deberia
haberme hecho esto automaticamente luego de la aplicacion de las politicas o
no?

Una vez que logre iniciar sesion por terminal, si bien me dejaba cambiar la
hora y tomar posesion de carpetas que no le pertenecian al usuario de
prueba, al entrar al administrador de dispositivos me advierte que no tengo
los suficientes permisos para agergar, modificar o quitar un driver o
dispositivo. ???? HEY! pero si yo habia especificado en la politica que ese
usuario debia hacerlo... sigo sin entender. O me perdi algo acerca de estos
procedimientos para asignacion de privilegios administrativos, o algo me
funciona mal.

Al querer hacer copia de seguridad de archivos que nos mios tengo dos
problemas. El primero es que no puedo tener acceso al TAPE y el segundo es,
si quiero hacerlo en archivo, me da error al querer hacer la copia de
seguridad con instantanea.

Debo complementar mis pasos con procedimientos adicionales?????

Esto es una pomocion sin obligacion de compra, si pueden darme una mano con
algun item sera muy agradecida, es decir, no hace falta que me contesten
todo, yo estare investigando por mi parte tambien.

Muchas gracias!
 

Leer las respuestas

#1 Desiderio Ondo.
20/06/2008 - 13:22 | Informe spam
Hola, Francisco:

Entre los privilegios que has indicado, no se especifican que
<users> tengan privilegios administrativos, por lo que podrían
implementar nuevo hardware (cosa que NO te recomiendo en
absoluto que hagas, por cierto).

Lo peor de todo es que observo varias de las actividades que
en realidad no corresponden a los "usuarios de a pie", sino a
grupos y/o departamentos específicos para ello (copias de
seguridad -que requerirían formar parte del grupo "Operadores
de copia", instalación de dispositivos -que requería formar
parte del grupo "Administradores"-... etc). Te recomiendo que
primero eches un buen vistazo al tema de "delegación del
control", que te puede servir de mucho para algunas de las
funciones que indicas, y después trates de coordinar las
funciones/tareas "especiales" al dep. de CAU y/o Sistemas,
que sería lo idóneo. Más info:

Delgación de control:
http://www.microsoft.com/spain/tech...rlwiz.mspx

Copiar delegación
http://technet2.microsoft.com/windo...x?mfr=true
·
Confío haberte servido de "alluda"
==Desiderio Ondo | Ing. en Informática.
MCSA | MCSE Windows Server 2K3.
http://pantuflo.escet.urjc.es/~desitech


"Francisco Cangrejo" wrote:

Estimados Amigos,

He implementado en un dominio una politica por la cual se concede ciertos
permisos a nuevas cuentas de usuarios comunes, dedicadas al personal de
sistemas, y que tienen como fin primero abandonar el uso de cuentas con
privilegios de "Admins. del Dominio" para el uso de tareas diarias.

Las cuentas nuevas pertenecen al grupo de "usuarios del dominio" y tienen en
adicion (lo he configurado en la "default domain controller policy" por
motivos de conflictos) los siguientes privilegios:

- Agregar estaciones de trabajo al dominio
- Apagar el equipo
- Cambiar la hora del sistema
- Cargar y descargar controladores de dispositivos
- Permitir inicio de sesion a traves de servicios de terminal server
- Hacer copia de seguridad de archivos y directorios
- Restaurar archivos y directorios
- Tomar posesion de archivos y otros objetos

Logicamente luego de aplicar estos permisos a los usuarios nada funciono
hasta que volvio a aplicar las politicas. Luego de eso, ninguno de los
usuarios podia acceder por escritorio remoto, a menos que lo incluya en el
grupo "Usuarios de escritorio remoto". Haciendo troubleshooting y algunas
pruebas, verifique que no podria iniciar sesion por terminal si no agregaba
al usuario en la solapa "Seguridad" en las propiedades de la conexion
RDP-tcp en TSCC y le asignaba los permisos requeridos. Pregunta: Deberia
haberme hecho esto automaticamente luego de la aplicacion de las politicas o
no?

Una vez que logre iniciar sesion por terminal, si bien me dejaba cambiar la
hora y tomar posesion de carpetas que no le pertenecian al usuario de
prueba, al entrar al administrador de dispositivos me advierte que no tengo
los suficientes permisos para agergar, modificar o quitar un driver o
dispositivo. ???? HEY! pero si yo habia especificado en la politica que ese
usuario debia hacerlo... sigo sin entender. O me perdi algo acerca de estos
procedimientos para asignacion de privilegios administrativos, o algo me
funciona mal.

Al querer hacer copia de seguridad de archivos que nos mios tengo dos
problemas. El primero es que no puedo tener acceso al TAPE y el segundo es,
si quiero hacerlo en archivo, me da error al querer hacer la copia de
seguridad con instantanea.

Debo complementar mis pasos con procedimientos adicionales?????

Esto es una pomocion sin obligacion de compra, si pueden darme una mano con
algun item sera muy agradecida, es decir, no hace falta que me contesten
todo, yo estare investigando por mi parte tambien.

Muchas gracias!



Preguntas similares