Modificando Permisos de Objetos de Active Directory

Windows Server 2003 determina si un usuario está autorizado para utilizar un

objeto de AD mediante la comprobación de los permisos concedidos al propio

usuario en dicho objeto, que se listan en el DACL. Cuando un administrador

permite o deniega los permisos de un objeto, se reconfiguran los permisos

heredados desde su objeto padre.

Podemos Agregar permisos:

Si las características avanzadas no están activadas, en Usuarios y equipos de

Active Directory, menú Ver, pulsaremos en Características avanzadas (Advanced

Features).

En el árbol de la consola, clic derecho sobre el objeto y seleccionamos

propiedades.

En el cuadro de diálogo de propiedades, ficha Seguridad, clic en Agregar.

En el cuadro de diálogo Seleccionar usuarios, equipos, o grupos, escribiremos en

el cuadro nombre el nombre del usuario o grupo al que queremos concederle

permisos y pulsaremos Aceptar.

Podemos Modificar permisos existentes:

Si las características avanzadas no están activadas, en Usuarios y equipos de

Active Directory, menú Ver, pulsaremos en Características avanzadas (Advanced

Features)

En el árbol de la consola, clic derecho sobre el objeto y seleccionamos

propiedades.

En el cuadro de diálogo de propiedades, ficha Seguridad, en el cuadro de

permisos seleccionamos las casillas permitir o negar en cada uno de los permisos

que queremos permitir o denegar.

Podemos ver los permisos especiales:

Normalmente los permisos estándar son más que suficientes para la mayor parte

de tareas administrativas. Sin embargo, puede necesitarse ver los permisos

especiales que constituye un permiso estándar.

Para verlos:

En el cuadro de diálogo de las propiedades del objeto, ficha seguridad, pulsamos

en el botón Avanzadas.

En el cuadro de diálogo configuración avanzada de seguridad, de la ficha

permisos, pulsamos en la entrada que deseamos ver y pulsamos Editar.

Si queremos ver permisos especiales para atributos específicos, en el diálogo de

Entrada de permiso, pulsaremos en la ficha propiedades.

Finalmente podemos modificar la herencia de permisos:

En el cuadro de diálogo de las propiedades del objeto, ficha seguridad, pulsamos

en el botón Avanzadas.

En el cuadro de diálogo configuración avanzada de seguridad, de la ficha

permisos, pulsamos en la entrada que deseamos ver y pulsamos Editar.

En el diálogo de Entrada de permiso, pulsaremos en la ficha Objeto, en el cuadro

Aplica a seleccionamos lo que queremos

Administrar el acceso a los objetos de las unidades:

Nos dirigimos hacia nuestra consola personalizada donde tenemos los usuarios y

equipos de active directory. Cuando estemos en la consola abrimos Usuarios y

Equipos de AD.

Vamos a la unidad organizativa NombreEquipo, hacemos clic derecho y

seleccionamos la opción Propiedades.

En la venta de propiedades seleccionamos la pestaña Directivas de grupo. Y le

daremos abrir, para ir a la consola de administración de directivas de grupo y

desde aquí examinar la seguridad y permisos de esta UO.

Nos dirigimos a la pestaña Delegación y desde aquí entramos a las opciones

avanzadas.

Aquí vemos los grupos y usuarios que tienen acceso a la unidad organizativa y el

tipo de acceso que tienen.

Los grupos en los cuales los permisos son heredados las casillas aparecen

sombreadas por ejemplo el grupo Administradores de organización, ver la imagen

que sigue:

Ahora vamos a quitar los permisos heredados.

Iremos a las Opciones Avanzadas:

En el cuadro de dialogo de configuración de Seguridad, en la pestaña Permisos

desactivamos la casilla que dice Permitir que los permisos heredables se

propaguen… Luego hacemos clic en Aceptar y luego en Quitar.

Luego hacemos clic en Aceptar dos veces para confirmar los cambios.

Con esto los grupos que tenían permisos heredados establecidos han sido

modificados y ya no tendrán los permisos heredados para la respectiva unidad

organizativa con la que se trabajo.

Ahora si volvemos a examinar la Seguridad de esta UO, vemos que los grupos

que antes estaban agregados y tenían permisos heredados ya no tienen acceso a

la UO y no se encuentran en el recuadro Seguridad.

Por ejemplo el grupo Administradores de la organización ha desaparecido, ya que

como vimos anteriormente los permisos de este grupo eran heredados pero ya

hemos modificado esa característica en esta UO.

Delegar el control de una unidad organizativa:

Vamos a nuestra consola y nos ubicamos en Usuarios y Equipos de Active

Directory.

Nos dirigimos a la unidad organizativa Locations, la expandimos y nos vamos

hacia NombreEquipo, cuando expandimos esta UO, vemos varias unidades, esta

vez trabajaremos con la UO Equipos.

Hacemos clic derecho y seleccionamos la opción Delegar control…

Nos saldrá un asistente: Asistente para delegación de control. Hacemos clic en

Siguiente.

Agregamos los usuarios y grupos a los cuales deseamos delegar control, hacemos

clic en Agregar.

El proceso de agregar grupos y usuarios ya lo hemos visto varias veces, por lo

cual se presentaran las imágenes para no perder el hilo del ejercicio. Pero esto es

sumamente familiar.

Hacemos clic en Siguiente:

Nos encontramos con la opción de elegir las tareas que deseamos delegar a estos

usuarios, podemos delegar tareas comunes, solo tenemos que seleccionar las

tareas y hacer clic en Siguiente. Luego que seleccionemos las tareas comunes el

asistente Finaliza.

Pero vamos a seleccionar la opción Crear una tarea personalizada para delegar, y

hacemos clic en Siguiente:

Nos presentara el tipo de objeto que queremos delegar y seleccionaremos la

opción Solo los siguientes objetos en la carpeta :

Seleccionamos Equipos Objetos y marcamos la casilla. De igual modo

seleccionamos la opción Crear los objetos seleccionados en esta carpeta, la cual se

encuentra en la parte inferior.

En la siguiente página, la página de permisos seleccionamos la opción General Y

debajo seleccionamos los permisos leer y escribir. Hacemos clic en Siguiente.

Luego hacemos clic en Finalizar, para terminar con el asistente.

Ver los resultados

Iniciamos sesión como aarcon y vamos a nuestra consola personalizada.

Nos dirigimos a la unidad organizativa NombreEquipo y luego a Equipos.

Nuestra tarea será agregar un Equipo a esta unidad. Esta tarea será eficiente ya

que para este usuario aarcon se le delego control de leer y escribir sobre esta

unidad organizativa.

Delegar control a la unidad organizativa Usuarios

Se seguirán los pasos anteriores esta vez para la UO Usuarios, tomando en

cuenta que a esta se le delegaran los siguientes permisos: Restablecer

contraseñas de usuario y forzar el cambio de contraseña en el siguiente inicio de

sesión, Leer toda la información de los usuarios.

Probar resultados

Iniciaremos sesión como aarcon, uno de los usuarios al cual se le delego control

sobre esta unidad organizativa.

Trataremos de deshabilitar un usuario pero esta tarea no podrá hacerse porque

el usuario no tiene permiso.

Mientras que restableceremos la contraseña de un usuario y esta tarea si se

efectuara con éxito ya que este fue el permiso que se le delego.