En Active Directory existe un conjunto de cuentas y grupos que son considerados "protegidos", generalmente si tenemos administradores designados estos mismos pueden cambiar y asignar permisos incluso pueden agregarse como miembros a cualquier grupo.
Con cuentas y grupos protegidos, los permisos de los objetos son establecidos de manera forzosa a través de un proceso automático que asegura que los permisos en los objetos permanezcan estables, incluso si el objeto es movido dentro del directorio, lo cual significa que si alguien (por ejemplo un administrador designado) cambia de manera manual los permisos de un objeto protegido en Active Directory éstos retornarán a su estado original o "por defecto" de manera automática.
Los siguientes son los grupos protegidos en un controlador de dominio:
- Administrators
- Domain Admins
- Enterprise Admins
- Schema Admins
Ahora bien, algo importante a considerar es que las cuentas pertenecientes a un grupo protegido automáticamente se convertirán en cuentas protegidas.
Para identificar una cuenta o grupo protegido, basta con revisar las propiedades del objeto y revisar el valor del atributo adminCount si está establecido en 1 significa que se trata de una cuenta o grupo protegido, de lo contrario este valor no estará establecido, veámos un ejemplo.
Revisemos el atributo adminCount de la cuenta Administrator.
Como podemos apreciar el valor efectivamente es 1, si no puedes ver la pestaña Attribube Editor ó Editor de Atributos de la cuenta, basta con hacer clic en el menú Ver y activar la opción Características avanzadas, de esta forma aparecerá la pestaña.
Ahora examinemos el mismo atributo pero en una cuenta normal llamada Usuario1
Como se puede apreciar su valor no está establecido, por lo cual se trata de una cuenta NO protegida.
Bien, ahora agreguemos a un grupo protegido, por ejemplo Domain Admins al usuario Usuario1
Después de agregarlo, ahora vamos a revisar sus atributos nuevamente.
Ahora ya vemos como el atributo adminCount ha sido establecido a 1, con lo cual podemos comprobar que cualquier cuenta vinculada a un grupo protegido automáticamente la cuenta quedará protegida, con ello su lista de control de acceso ACL se restablecerá cada 60 minutos a través de un proceso automático, esto previene la modificación o alteración de la lista de control de acceso de grupos o cuentas sensibles por parte de administradores delegados por ejemplo.
.jpg)
2 comentarios:
Hola Cesar, excelente post, muchas gracias por la info. Quisiera consultarte algo, tengo un dominio en nivel funcional 2008, entiendo que si algún usuario pertenece a un grupo elevado como "domain admins" se le seteará por defecto el valor a 1 en admincount. Mi consulta es: si hay grupos dentro de los grupos elevados(por ejemplo el grupo soporte dentro del grupo domain admins) les hereda el valor admincount para los usuarios dentro del grupo soporte? Si es así y luego se quita a un usuario del grupo soporte y lo mandan a un grupo normal, el atributo admincount se vuelve a "not set" o se mantiene en 1? Tengo un tema de auditoría donde me piden cambiar el atributo como a 136 usuarios, de los cuales sólo pocos realmente son domain admins.
Desde ya gracias por tu apoyo.
Hola Aragorn!
En efecto si tenemos grupos anidados también sus miembros pertenecerán a dichos grupos privilegiados estableciendo su atributo admincount en 1, y si así retires luego el usuario del grupo de soporte el valor de admincount seguirá siendo 1
Un saludo!
Publicar un comentario