Delegar Administración en Active Directory

Una capacidad muy importante de Active Directory es la habilidad de poder delegar en forma muy granular algunas tareas administrativas en usuarios que no pertenezcan a alguno del los grupos con poderes administrativos irrestrictos, como por ejemplo los administradores

En una organización muy chica probablemente no se haga delegación de tareas, pero es algo casi imprescindible en grandes organizaciones, ya que no todo el que tenga que ejecutar alguna tarea administrativa tiene que tener los “super poderes” de un administrador
A veces, sobre todo en las medianas, no se delegan tareas por desconocimiento de su funcionamiento
Es una opción muy poderosa, que permite delegar definiendo:

  • Qué tarea/s se delegará o delegarán
  • Sobre qué tipo de objetos (usuarios, grupos, GPOs, unidades organizativas, etc.)
  • Sobre qué partes del Dominio (unidades organizativas, el Dominio, etc.)

Esto también responde a una consulta que se escucha con frecuencia: “que sea administrador, pero que no pueda …”. Lo cual es imposible, ya que si pertence al grupo de Administradores (“Administrators”) no hay forma de quitarle privilegios sobre la máquina o el Dominio

Veremos una demostración muy simple, donde sólo es necesario una máquina Controlador de Dominio

En un ambiente de Active Directory, cada objeto, y en realidad cada propiedad de cada objeto tiene una Lista de Control de Acceso (ACL = Access Control List) que determina quién y qué puede hacer con cada elemento

Lo anterior está definido por omisión cuando se crea un Dominio, y está establecido en el Esquema (“Schema”) pero no es algo que no pueda cambiarse, aunque no absolutamente todos los objetos, para preservar la integridad

El sistema, por omisión no muestra la ficha de Seguridad de cada objeto, pero si por ejemplo en Usuarios y Equipos de Active Directory (“Active Directory Users and Computers”) habilitamos la opción “View / Advanced Features”, e ingresamos a las propiedades de un objeto, veremos quien tiene, y qué permisos tiene sobre el objeto

IMPORTANTE: no hacer cambios si uno no conoce exactamente cuáles serán las consecuencias de un cambio

Para poder hacer la demostración, en el Dominio que utilizo siempre para estas notas he creado cuatro Unidades Organizativas, que sólo por comodidad y para que aparezcan juntas al principio le he puesto el prefijo “_”. Una para usuario, otra para grupos, y otra para máquinas. La cuarta (“_IT”) ha sido para crear una cuenta de usuario (“Admin Uno”) que pertence a un grupo (“IT-Grupo”) al cual le delegaré tareas

Para no tener que utilizar otra máquina, modifiqué la “Default Domain Controllers Policy” permitiendo que este usuario normal pueda inciar sesión en un Controlador de Dominio, aunque por supuesto esto no es recomendable en un ambiente productivo

Para comenzar con algo sencillo, delegaré sobre la Unidad Organizativa “_Usuarios” que los que pertenezcan al grupo IT-Grupo puedan crear cuentas de usuario. Lo haré a través del asistente de delegación, según muestran las siguientes pantallas

Agregamos al grupo en cuestión

Podemos ver que ya hay algunas tareas predefinidas, comenzaremos por una de estas por su sencillez, y luego veremos las personalizadas. En este caso recuerdo que estamos delegando la administración de usuarios

 

Ahora iniciaré sesión con “Admin Uno” y veremos si puede crear una cuenta de usuario en la Unidad Organizativa sobre la que se hizo la delegación

No pongo todas las pantallas porque supongo que nadie tendrá dificultades en crear una cuenta de usuario, pero podemos observar que puede efectuar la tarea delegada perfectamente

Si trata de crear una cuenta de máquina, que no fue delegada, no podrá

Ya que no fue una tarea delegada, tampoco podrá incluir al usuario en un grupo; debería delegarle permisos sobre el grupo para que pueda hacerlo

 

Volvamos a iniciar sesión con la cuenta de administrador, y en Usuarios y Equipos de Active Directory (“Active Directory Users and Computers”), activemos la opción “View / Advanced Features”. Luego ingresemos a las propiedades de la Unidad Organizativa, y en la ficha “Security” podremos ver que se ha incluido al grupo al que delegamos con “Special Permissions”

Ingresando por el botón “Advanced” podremos ver que el grupo tiene permisos para crear y borrar cuentas de usuario

 

Para continuar la demostración, en forma análoga a la delegación anterior, ahora lo haremos sobre la Unidad Organizativa “_Grupos”, pero delegando la administración de grupos.
Observen que se activan dos entradas que podrían activarse independientemente, una es la creación de grupos, y la otra la membresía en los grupos

Inciando sesión con “Admin Uno” podemos observar que puede crear grupos sobre la Unidad Organizativa donde se delegó

Pero como es lógico, sólo podrá crear grupos en la Unidad Organizativa “_Grupos”, y no en otras

 

Supongamos que deseamos delegar la creación de cuentas de máquina, sobre la Unidad Organizativa “_Maquinas”. Esta no es una tarea predefinida, así que aunque los pasos inciales son los mismos, ahora debemos crear una tarea personalizada

Seleccionamos “Computer objects” y le asignamos para que pueda crear y borrar cuentas de este tipo

Aunque yo para mantener simple esta demostración le otorgaré permiso de control total, observen que se podrían manejar los permisos hasta a nivel de cada propiedad del objeto

 

Si iniciamos sesión con “Admin Uno” veremos que puede sin ningún inconveniente crear cuentas de máquina en la Unidad Organizativa donde se le delegó el privilegio

Y por supuesto, también borrar

 

Por último vamos a mostrar una delegación más, y cómo el sistema nos protege. Supongamos que luego de uno de esos días complicados que todo administrador tiene, decidimos delegar en otra persona la posibilidad de cambiar contraseñas y administrar los grupos, pero a nivel de Dominio, o sea que se aplicará a todo el Dominio

¿Se dan cuenta del problema? ¿y si nos cambia la contraseña a nuestro administrador? ¿o si se incluye en uno de los grupos administradors? Estaríamos en un problema grave si esto fuera así, pero el sistema nos protege

Hagámoslo y probemos

Iniciamos como administrador del Dominio y ejecutemos la delegación a nivel de Dominio como muestra la captura

Ahora iniciemos sesión con “Admin Uno” y tratemos de hacer algo indebido :-)

Tranquilos, no puede

¿Y membresía en grupos administrativos?

Tampoco puede

Aunque sí podrá hacerlo sobre los grupos no protegidos

Sobre los grupos protegidos, las opciones de agregar o quitar le aparecerán deshabilitadas

 

Como hemos podido observar es muy fácil delegar tareas sobre determinados tipos de objetos, y sobre partes definidas de un Dominio, espero lo utilicen para las tareas que no tienen significancia especial desde el punto de vista seguridad

Inclusive, lean también la nota “La Vista del Cuadro de Tareas (“Taskpad Views”) ¿Sabe Qué Es y Como Crearlas” para ver cómo podemos crear vistas simplificadas para estos delegados

Un comentario importarte a tener en cuenta: el asistente de delegación sirva para agregar permisos, pero no sirve para quitar o modificar permisos; ni el sistema tiene una aplicación sencilla gráfica para documentar los permisos, o identificar los modificados. Por lo tanto, es importante documentar la información de delegación (dónde, a quién, por qué, etc.)

Para el que desee profundizar el tema de los grupos protegidos les dejo unos enlaces con buena información (en inglés)

Hasta Windows Server 2008 R2: AdminSDHolder, Protected Groups and SDPROP:

Y para Windows Server 2012 en adelante:

 

 

Post a comment or leave a trackback: Trackback URL.

Comentarios

  • Cesar Rojas  On 18/09/2014 at 13:33

    Hola Guillermo, a ver si me puedes orientar y ayudar… Necesito dar a un usuario la capacidad de unir maquinas al dominio, desbloquear usuarios del dominio y que pueda ser administrador de maquinas de usuarios (administrador local); las 2 primeras ya lo hice delegando el control, pero la ultima como lo puedo hacer?

    • Guillermo Delprato  On 18/09/2014 at 13:47

      Hola César, se hace con GPO y “Restricted Groups”
      Te dejo un enlace: How to Configure a Global Group to Be a Member of the Administrators Group on all Workstations:
      http://support.microsoft.com/kb/320065/en-us
      Las dos cosas que hay que tener cuidado con esta configuración son:
      – Si, por ejemplo, escribes “administrators”, no es “administradores” pero ambos son locales; si en cambio usas el botón “Browse” en realidad seleccionas los administradores del Dominio
      – La opción “Members of this group”, agrega al grupo; en cambio “Members” quita a todos (salvo el admin predefinido) y pone a los que agregues
      Espero haber sido claro :-)

  • Raymundo Beltran  On 14/06/2015 at 00:35

    Hola , desde México , ojala pudieras orientarme en una cuestión sobre permisos en AD 2012, tengo usuarios que tienen equipos laptop , que por motivos de nuestra mala practica requieren que dichso usuarios puedan cambiar su ip, mascara gateway y dns. pero que no sean administradores, leyendo encontré que se pudieran en el grupo de administradores de red en BUILTIN, pero no lo he logrado , la mayoría de equipos que tengo es win7 a 64 bits.

    Gracias y saludos. por cierto tu blog es una maravilla..

    • Guillermo Delprato  On 15/06/2015 at 08:29

      Hola Ramundo, es verdad lo que dices, lo he visto ya hace un par de años, a mi entender es un “casi bug” :)
      El problema es que no le permite acceso a la interfaz gráfica, aunque sí tiene permisos para cambiar la configuración de red
      La única forma que ví que podía hacerlo es desde línea de comandos, entonces la solución pasa por si está capacitado el usuario ejecute los comandos, o que le puedas hacer un script que ejecute el usuario para cada cambio

  • Salvador  On 18/03/2016 at 10:20

    Hola Guillermo, espero me ayudes. En nuestra organización tenemos a muchos soportes con acceso a Active Directory, quisiera saber si hay algún LOG o herramienta que nos ayude a ver que hizo cada soporte como por ejemplo bloquear una cuenta, eliminar a un usuario por error.
    Espero que me puedas ayudar.

    • Guillermo Delprato  On 18/03/2016 at 13:37

      Hola Salvador, esto no es un sitio de soporte, sólo oriento cuando puedo
      Primero y principal, los soportes no deben ser administradores del Dominio, se debe usar la delegación de tareas específicas sobre los ámbitos necesarios, y nada más
      Lo que quieres saber se hace a través de auditorías de segumridad, si buscas en la web hay muchísima información, aunque te adelanto que no es fácil interpretar los logs
      Para darte un ejemplo: Active Directory Domain Services (AD DS) Auditing Step-by-Step Guide
      https://technet.microsoft.com/en-us/library/cc731607(v=ws.10).aspx

  • Day  On 20/06/2016 at 16:53

    Buenas Tardes
    Disculpa quisiera preguntarte, requiero que un usuario posee solo permiso para subir maquinas a l dominio sin que sean administardores total. He intentado lo de delegar control pero no me sale la opcion de unir maquinas. Que podria estar haciendo mal.

    • Guillermo Delprato  On 20/06/2016 at 18:31

      Hola Day ¿lo estás haciendo sobre una Unidad Organizativa? porque “Computers” no es una Unidad Organizativa, y por lo tanto no se puede hacer delegación sobre ese contenedor

  • dricaldiDavid  On 17/01/2017 at 14:19

    Estimado, cual seria el procedimiento para quitar esa delegación?

    • Guillermo Delprato  On 17/01/2017 at 15:44

      En la ventana donde se ven los permisos avanzados, está el botón “Restore Defaults”, o a mano si son individuales los que quieres sacar

Este espacio es para comentarios sobre la nota. No es un sitio de soporte

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: