modificar los permisos de los objetos de active...

Rocío Alt. Abreu Ortiz 2009-3393

Modificar los permisos de los objetos de

Active Directory

En esta práctica quitaremos los permisos heredados de la unidad organizativa y

documentaremos los cambios de seguridad efectuados.

Primero debes asegurarte que estás viendo las características avanzadas de Usuarios

y equipo de Active Directory.

1- Abre Usuarios y equipo de Active Directory, haciendo click en Inicio – Herramientas

Administrativas.

2- Haz clic en “Ver” ubicada en la barra de menú, elige Características avanzadas.

Modificar los permisos de los objetos de Active Directory

Administrar el acceso a los objetos de las unidades organizativas

Para visualizar la configuración de seguridad de su unidad organizativa en

NombreEquipo.

1- Haz click derecho encima de la UO NombreEquipo y elige Propiedades.

2- En la ventana Propiedades, haz click en la pestaña Seguridad.


3- Ahora, identifica cuales grupos tienen permisos heredados o explícitos. Un permiso

explicito tiene la casilla tiene la casilla Permisos especiales activada abajo. Y los

permisos heredado tienen una casilla sombreada. Para poder visualizar esto mucho

mas detallado, haz click en “Opciones avanzadas”.

Como podrás observar, uno del

grupo Operadores de cuentas

posee permisos explícitos, pero

no heredo.

Analizando esta ventana te

encontrarás con que existen

varios grupos con el mismo

nombre, y que no todos tienen

sus permisos con igual

configuración.


Quitar permisos heredados

1- Estando en la ventana de Propiedades de la unidad organizativa NombreEquipo. La

ventana de la parte anterior. Desactive la casilla “Permitir que los permisos

heredables del primario se propaguen a este objeto y a todos los objetos

secundario”.

Te saldrá un cuadro de seguridad.

Haz click en Quitar.


Por último, haz click en Aplicar y luego en Aceptar.

Delegar el control de una unidad organizativa

1- En Usuarios y Equipo de Active Directory, despliega la unidad organizativa

Locations, y haz un click derecho encima de la UO “NombreEquipo” y elige Delegar

control…

2- Te aparecerá el Asistente para delegación de control, haz click en Siguiente.


3- En la pagina Usuarios o grupos, haz click en Agregar, y escribe el nombre de

usuario “NombreEquipoUser”. Luego haz click en Comprobar nombres.

4- Haz click en Aceptar y notarás como se agrega el usuario. Luego haz click en

Siguiente para continuar con el proceso.

5- En el paso Tareas que se delegarán, selecciona la opción Crear una tarea

personalizada para delegar y haz click en Siguiente

NombreEquipoUser


.

6- En la pagina Tipo de objeto de Active Directory, selecciona la opción Solo los

siguientes objetos en la carpeta. Como podrás observas dentro de es opción

existen otras a elegir; activa la casilla en Equipo objetos. Y selecciona las opciones

Crear los objetos seleccionados en esta carpeta y Eliminar los objetos

seleccionados en esta carpeta. Una vez haya realizado esto, haz click en Siguiente.

7- En la ventana Permisos, selecciona la casilla General. Debajo de Permisos, activa

todas las casillas Leer y Escribir y haz click en Siguiente.


8- En la ventana Finalización del Asistente para la delegación de control, haz click en

Finalizar.

A continuación, probaré los permisos de la unidad organizativa Equipo, la cual está

dentro de la uo NombreEquipo, de esta manera verificaremos que los permisos

heredados efectivamente han sido deshabilitado.


1- Abre Usuarios y Equipo de Active Directory, por medio de la consola personalizada

MMC.

2- Crea una cuenta de equipo, haciendo click derecho encima de la UO Equipos, elige

Nuevo – Equipo.

3- Como nombre del equipo, escribe el nombre de tu ciudad + test, y haz click en

Siguiente. En mi caso, será Lontest.


4- Cierra Usuario y Equipos de Active Directory.


Delegar el control de la unidad organizativa Usuarios.

1- Abre Usuarios y equipo de Active Directory con el comando Ejecutar como… para lo

cual debes hacer un click derecho encima.

2- Selecciona la casilla “el siguiente usuario” y escribe NombreEquipoAdmin luego la

contraseña; después haz click en Aceptar.

3- Despliega la UO Locations – NombreEquipo, y haz click derecho encima de

“Usuarios” y elige Delegar control…


4- Te aparecerá el Asistente para delegación de control, haz click en Siguiente.

5- En la pagina Usuarios o grupos, haz click en Agregar, y escribe el nombre de

usuario “NombreEquipoUser”. Luego haz click en Comprobar nombres


6- Haz click en Aceptar y notarás como se agrega el usuario. Luego haz click en

Siguiente para continuar con el proceso.

7- En el paso Tareas que se delegarán, selecciona la opción Delegue las siguientes

tareas comunes, y activa la casilla Reset user passwords and force password

change at next logon y Read all user Information.

8- Haz click en Siguiente y, luego en Finalizar.


Probar los permisos de la unidad organizativa Usuarios.

1- Cierra la ventana Usuarios y equipo de Active Directory, sin emplear el comando

Ejecutar como…

2- Despliega la UO Locations – NombreEquipo y selecciona la unidad Usuarios.

3- Haz click derecho encima de uno de los usuarios que aparece en el panel de al lado.

Selecciona Eliminar y presiona Enter.


4- Te aparecerá un recuadro preguntándote si estás seguro de que quieres eliminar el

usuario, haz click en SÍ.

5- En vista que el usuario NombreEquipoUser, no tiene permiso para eliminar usuarios,

te saldrá el siguiente cuadro.

Observa que todavía está el usuario que intentamos eliminar.


6- Encima de otro usuario, haz click derecho y selecciona Deshabilitar cuenta.

7- Nuevamente, como el usuario no tiene permiso para realizar esta acción te saldrá un

recuadro indicándote que no tienes derecho sobre este objeto.

8- Haz click derecho encima del mismo usuario, y selecciona Restablecer contraseña.


9- Escribe la contraseña nueva y confírmala escribiéndola de nuevo y luego haz click

en Aceptar.

10- Te saldrá un recuadro indicándote que se ha cambiado la contraseña. Se te ha

permitido cambiarle la contraseña al usuario porque posees ese permiso.

modificar los permisos de los objetos de active...

Documents