Implementación de los privilegios delegados
Estudie el informe que una empresa de especialistas en seguridad de TI creó para Contoso. Se dará cuenta de que las cuentas de usuario que son miembros de grupos con privilegios elevados, como los Administradores de empresa y los Administradores de dominio, tienen acceso total a todos los sistemas y datos. Ya sabe que esas cuentas deben estar estrechamente protegidas.
Sin embargo, hay usuarios que requieren determinados derechos de administrador para realizar sus tareas. Por ejemplo, el personal del departamento de soporte técnico debe ser capaz de restablecer contraseñas y desbloquear cuentas para los usuarios normales, mientras que el personal de TI será responsable de la instalación de aplicaciones en clientes o servidores, o de realizar copias de seguridad.
Aunque Active Directory y los servidores miembro cuentan con grupos integrados que tienen asignados privilegios predeterminados (como Operadores de copia de seguridad y Operadores de cuenta), es posible que estos no se ajusten a sus necesidades. Por lo tanto, debe determinar la mejor manera de proporcionar este acceso administrativo limitado.
Uso del Asistente para la delegación de controles
El privilegio delegado proporciona una manera de conceder autoridad limitada a los usuarios o grupos especificados. Puede delegar privilegios más granulares a usuarios o grupos mediante el Asistente para la delegación de controles. Este asistente le permite asignar permisos en el nivel de la unidad de sitio, del dominio o de la organización. El asistente tiene las siguientes tareas predefinidas que puede asignar:
- Crear, eliminar y administrar cuentas de usuario.
- Restablecer contraseñas de usuario y forzar el cambio de contraseña en el siguiente inicio de sesión.
- Leer toda la información del usuario.
- Crear, eliminar y administrar grupos.
- Modificar la pertenencia de un grupo.
- Unir un equipo al dominio (solo disponible en el nivel de dominio).
- Administrar vínculos de directiva de grupo.
- Generar un conjunto de resultados de la directiva (planeación).
- Generar un conjunto de resultados de la directiva (registro).
- Crear, eliminar y administrar cuentas de inetOrgPerson.
- Restablecer las contraseñas de inetOrgPerson y forzar el cambio de contraseña en el siguiente inicio de sesión.
- Leer toda la información de inetOrgPerson.
También puede combinar permisos para crear y asignar tareas personalizadas.
Para iniciar el Asistente para la delegación de controles, abra Usuarios y equipos de Active Directory y busque la unidad organizativa (OU) de la que quiera delegar el control.
Nota:
También puede delegar el control en el objeto de dominio.
Sugerencia
Para delegar el control en un sitio, use la herramienta Sitios y servicios de Active Directory para delegar el control.
Después, siga el procedimiento siguiente:
Haga clic con el botón derecho en el menú contextual y seleccione Delegar control; a continuación, haga clic en Siguiente.
En el Asistente para la delegación de controles, seleccione el usuario o grupo al que quiere delegar el control y, a continuación, seleccione Siguiente.
Sugerencia
Recuerde que debe evitar asignar derechos a usuarios específicos. En su lugar, debe usar grupos, aunque el grupo contenga solo un usuario. Esto facilita la administración continua.
En la página Tareas que se delegarán, seleccione los elementos que necesite de una lista de tareas comunes, o bien seleccione una tarea personalizada para delegar. Por ejemplo, para delegar la capacidad de administrar cuentas de usuario, seleccione lo siguiente:
- Crear, eliminar y administrar cuentas de usuario.
- Restablecer contraseñas de usuario y forzar el cambio de contraseña en el siguiente inicio de sesión.
- Leer toda la información del usuario.
Seleccione Finalizar.
Importante
Después de haber asignado el acceso delegado, tenga en cuenta que no puede usar el Asistente para la delegación de controles para revisar la configuración.
Para revisar las tareas delegadas que se han configurado previamente:
- En el menú de Usuarios y equipos de Active Directory, seleccione Ver y, a continuación, seleccione Características avanzadas.
- Busque la unidad organizativa que ha delegado. Haga clic con el botón derecho o active el menú contextual y seleccione Propiedades.
- En el cuadro de diálogo Nombre de la unidad organizativa Propiedades, seleccione la pestaña Seguridad y, a continuación, seleccione Avanzada.
- Busque la entidad de seguridad a la que delegó el control y revise los permisos. También puede cambiar los permisos delegados aquí.
Nota:
El Asistente para la delegación de controles proporciona una interfaz sencilla basada en el Asistente para la configuración de permisos de AD DS en objetos de AD DS.
Demostración
En el siguiente video se muestra cómo usar el Asistente para la delegación de controles para implementar privilegios delegados. Los pasos principales del proceso son:
- Abra Usuarios y equipos de Active Directory.
- Cree un nuevo grupo llamado Jefes de ventas en la unidad organizativa Jefes.
- Agregue un usuario al grupo Jefes de ventas.
- Ejecute el Asistente para la delegación de controles, y asegúrese de que esté apuntando a la unidad organizativa Ventas.
- Asigne al grupo Administradores de ventas el permiso Reset user passwords and force password change at next logon (Restablecer contraseñas de usuario y forzar el cambio de contraseña en el siguiente inicio de sesión) en la unidad organizativa Ventas.
- Inicie sesión como miembro del grupo Jefes de ventas y compruebe que el usuario puede restablecer una contraseña para los usuarios en la unidad organizativa Ventas, pero no en la unidad organizativa Búsqueda.