Rocío Alt. Abreu Ortiz 2009-3393
Modificar los permisos de los objetos de
Active Directory
En esta práctica quitaremos los permisos heredados de la unidad organizativa y
documentaremos los cambios de seguridad efectuados.
Primero debes asegurarte que estás viendo las características avanzadas de Usuarios
y equipo de Active Directory.
1- Abre Usuarios y equipo de Active Directory, haciendo click en Inicio – Herramientas
Administrativas.
2- Haz clic en “Ver” ubicada en la barra de menú, elige Características avanzadas.
Modificar los permisos de los objetos de Active Directory
Administrar el acceso a los objetos de las unidades organizativas
Para visualizar la configuración de seguridad de su unidad organizativa en
NombreEquipo.
1- Haz click derecho encima de la UO NombreEquipo y elige Propiedades.
2- En la ventana Propiedades, haz click en la pestaña Seguridad.
Modificar los permisos de los objetos de Active Directory
3- Ahora, identifica cuales grupos tienen permisos heredados o explícitos. Un permiso
explicito tiene la casilla tiene la casilla Permisos especiales activada abajo. Y los
permisos heredado tienen una casilla sombreada. Para poder visualizar esto mucho
mas detallado, haz click en “Opciones avanzadas”.
Como podrás observar, uno del
grupo Operadores de cuentas
posee permisos explícitos, pero
no heredo.
Analizando esta ventana te
encontrarás con que existen
varios grupos con el mismo
nombre, y que no todos tienen
sus permisos con igual
configuración.
Modificar los permisos de los objetos de Active Directory
Quitar permisos heredados
1- Estando en la ventana de Propiedades de la unidad organizativa NombreEquipo. La
ventana de la parte anterior. Desactive la casilla “Permitir que los permisos
heredables del primario se propaguen a este objeto y a todos los objetos
secundario”.
Te saldrá un cuadro de seguridad.
Haz click en Quitar.
Modificar los permisos de los objetos de Active Directory
Por último, haz click en Aplicar y luego en Aceptar.
Delegar el control de una unidad organizativa
1- En Usuarios y Equipo de Active Directory, despliega la unidad organizativa
Locations, y haz un click derecho encima de la UO “NombreEquipo” y elige Delegar
control…
2- Te aparecerá el Asistente para delegación de control, haz click en Siguiente.
Modificar los permisos de los objetos de Active Directory
3- En la pagina Usuarios o grupos, haz click en Agregar, y escribe el nombre de
usuario “NombreEquipoUser”. Luego haz click en Comprobar nombres.
4- Haz click en Aceptar y notarás como se agrega el usuario. Luego haz click en
Siguiente para continuar con el proceso.
5- En el paso Tareas que se delegarán, selecciona la opción Crear una tarea
personalizada para delegar y haz click en Siguiente
NombreEquipoUser
Modificar los permisos de los objetos de Active Directory
.
6- En la pagina Tipo de objeto de Active Directory, selecciona la opción Solo los
siguientes objetos en la carpeta. Como podrás observas dentro de es opción
existen otras a elegir; activa la casilla en Equipo objetos. Y selecciona las opciones
Crear los objetos seleccionados en esta carpeta y Eliminar los objetos
seleccionados en esta carpeta. Una vez haya realizado esto, haz click en Siguiente.
7- En la ventana Permisos, selecciona la casilla General. Debajo de Permisos, activa
todas las casillas Leer y Escribir y haz click en Siguiente.
Modificar los permisos de los objetos de Active Directory
8- En la ventana Finalización del Asistente para la delegación de control, haz click en
Finalizar.
A continuación, probaré los permisos de la unidad organizativa Equipo, la cual está
dentro de la uo NombreEquipo, de esta manera verificaremos que los permisos
heredados efectivamente han sido deshabilitado.
Modificar los permisos de los objetos de Active Directory
1- Abre Usuarios y Equipo de Active Directory, por medio de la consola personalizada
MMC.
2- Crea una cuenta de equipo, haciendo click derecho encima de la UO Equipos, elige
Nuevo – Equipo.
3- Como nombre del equipo, escribe el nombre de tu ciudad + test, y haz click en
Siguiente. En mi caso, será Lontest.
Modificar los permisos de los objetos de Active Directory
4- Cierra Usuario y Equipos de Active Directory.
Modificar los permisos de los objetos de Active Directory
Delegar el control de la unidad organizativa Usuarios.
1- Abre Usuarios y equipo de Active Directory con el comando Ejecutar como… para lo
cual debes hacer un click derecho encima.
2- Selecciona la casilla “el siguiente usuario” y escribe NombreEquipoAdmin luego la
contraseña; después haz click en Aceptar.
3- Despliega la UO Locations – NombreEquipo, y haz click derecho encima de
“Usuarios” y elige Delegar control…
Modificar los permisos de los objetos de Active Directory
4- Te aparecerá el Asistente para delegación de control, haz click en Siguiente.
5- En la pagina Usuarios o grupos, haz click en Agregar, y escribe el nombre de
usuario “NombreEquipoUser”. Luego haz click en Comprobar nombres
Modificar los permisos de los objetos de Active Directory
6- Haz click en Aceptar y notarás como se agrega el usuario. Luego haz click en
Siguiente para continuar con el proceso.
7- En el paso Tareas que se delegarán, selecciona la opción Delegue las siguientes
tareas comunes, y activa la casilla Reset user passwords and force password
change at next logon y Read all user Information.
8- Haz click en Siguiente y, luego en Finalizar.
Modificar los permisos de los objetos de Active Directory
Probar los permisos de la unidad organizativa Usuarios.
1- Cierra la ventana Usuarios y equipo de Active Directory, sin emplear el comando
Ejecutar como…
2- Despliega la UO Locations – NombreEquipo y selecciona la unidad Usuarios.
3- Haz click derecho encima de uno de los usuarios que aparece en el panel de al lado.
Selecciona Eliminar y presiona Enter.
Modificar los permisos de los objetos de Active Directory
4- Te aparecerá un recuadro preguntándote si estás seguro de que quieres eliminar el
usuario, haz click en SÍ.
5- En vista que el usuario NombreEquipoUser, no tiene permiso para eliminar usuarios,
te saldrá el siguiente cuadro.
Observa que todavía está el usuario que intentamos eliminar.
Modificar los permisos de los objetos de Active Directory
6- Encima de otro usuario, haz click derecho y selecciona Deshabilitar cuenta.
7- Nuevamente, como el usuario no tiene permiso para realizar esta acción te saldrá un
recuadro indicándote que no tienes derecho sobre este objeto.
8- Haz click derecho encima del mismo usuario, y selecciona Restablecer contraseña.
Modificar los permisos de los objetos de Active Directory
9- Escribe la contraseña nueva y confírmala escribiéndola de nuevo y luego haz click
en Aceptar.
10- Te saldrá un recuadro indicándote que se ha cambiado la contraseña. Se te ha
permitido cambiarle la contraseña al usuario porque posees ese permiso.
Top Related