Configuración Avanzada de Dominios Active Directory: Confianzas, Permisos y Políticas de Seguridad

Enviado por Chuletator online y clasificado en Informática y Telecomunicaciones

Escrito el en español con un tamaño de 11,33 KB

Configuración de Confianzas y Delegación en Active Directory

Establecimiento de Relaciones de Confianza

Para establecer una relación de confianza entre dominios en Active Directory (por ejemplo, para que domserver178.com confíe en otro dominio):

  1. Vaya a InicioHerramientas AdministrativasDominios y confianzas de Active Directory.
  2. Haga clic derecho sobre el dominio local (ej: domserver178.com) y seleccione Propiedades.
  3. Vaya a la pestaña Confianzas.
  4. Haga clic en Nueva confianza...
  5. Siga el asistente, introduciendo el nombre del dominio con el que desea establecer la confianza (ej: otrodominio.com).

Delegación de Control entre Dominios

Para delegar control administrativo a un usuario de otro dominio sobre objetos del dominio local:

  1. Vaya a InicioHerramientas AdministrativasUsuarios y equipos de Active Directory.
  2. Haga clic con el botón derecho en el dominio local (ej: domserver178.com) y seleccione Delegar control...
  3. En el asistente, haga clic en Agregar...
  4. Pulse el botón Ubicaciones... y seleccione el otro dominio (el dominio de confianza).
  5. Seleccione la cuenta de usuario deseada (ej: la cuenta de Administrador del otro dominio).
  6. Elija la opción Crear una tarea personalizada para delegar.
  7. Seleccione los permisos u objetos sobre los que desea delegar el control (por ejemplo, todas las opciones para un control amplio).

Gestión de Permisos y Acceso a Recursos

Acceso de Usuarios y Permisos Iniciales

  • Inicio de sesión local: Un usuario (ej: del dominio "rosa") no podrá iniciar sesión localmente en un servidor si no se le han concedido explícitamente los privilegios necesarios mediante políticas de seguridad.
  • Acceso a carpetas compartidas: Un usuario (ej: contarde1) no podrá acceder a una carpeta compartida (ej: en el dominio "rosa") si no se le han asignado los permisos adecuados, tanto a nivel de recurso compartido como de seguridad NTFS.

Permitir Acceso a Carpetas Compartidas entre Dominios

Para que un usuario de un dominio (ej: Administrador del "otro" dominio) pueda acceder a una carpeta compartida en el dominio local:

  1. Haga clic derecho en la CarpetaPropiedades.
  2. Vaya a la pestaña Seguridad.
  3. Haga clic en Editar... (o Agregar...).
  4. Pulse Agregar....
  5. Haga clic en Ubicaciones... y seleccione el "otro" dominio.
  6. Escriba el nombre del usuario (ej: Administrador) y haga clic en Comprobar nombres.
  7. Seleccione el usuario y haga clic en Aceptar.
  8. Asigne los permisos deseados (ej: Control Total).
  9. Asegúrese también de configurar los permisos en la pestaña Compartir (Permisos de recurso compartido).
  10. Para acceder, puede usar el Símbolo del sistema o el Explorador de Windows y escribir la ruta UNC (ej: \\<IP_Servidor>\<Nombre_Recurso_Compartido> o \\<Nombre_Servidor>\<Nombre_Recurso_Compartido>).

Permisos: Pestaña Compartir vs. Pestaña Seguridad

  • Pestaña Compartir: Controla el acceso a la carpeta a través de la red.
  • Pestaña Seguridad (NTFS): Controla el acceso a la carpeta y su contenido, tanto localmente como a través de la red.
  • Permiso Efectivo: Cuando un usuario accede a un recurso a través de la red, se aplica el permiso más restrictivo entre los asignados en la pestaña Compartir y la pestaña Seguridad. (Ej: Si en Compartir tiene Control Total y en Seguridad tiene Modificar, el permiso efectivo será Modificar).
  • Acceso Local: Si un usuario (global o local) inicia sesión localmente en el servidor, solo le afectan los permisos de la pestaña Seguridad. La pestaña Compartir es irrelevante para el acceso local.
  • Práctica Común: Normalmente, los permisos en la pestaña Seguridad se configuran de forma más granular y potencialmente más amplios que los de la pestaña Compartir (donde a veces se deja Control Total para el grupo Todos o Usuarios autenticados, delegando el control real a los permisos NTFS).

Consideraciones en Windows 2003

En Windows Server 2003, aunque la configuración de compartir en red es estándar, es importante recordar que los permisos NTFS (pestaña Seguridad) permiten que distintos usuarios que inicien sesión localmente tengan diferentes niveles de acceso a un mismo fichero o carpeta. Esto se gestiona haciendo clic derecho → PropiedadesSeguridadAgregar/Editar usuario.

Propiedad y Herencia de Permisos

  • Propietario: Cada archivo y carpeta tiene un propietario (normalmente quien lo creó), que tiene control implícito sobre sus permisos.
  • Herencia: Por defecto, los archivos y subcarpetas heredan los permisos de su carpeta contenedora (padre).
  • Administración de Herencia:
    • En PropiedadesSeguridadOpciones avanzadas, la casilla "Incluir permisos heredables del primario de este objeto" (o similar, la segunda casilla de verificación) controla si se heredan los permisos. Desmarcarla permite definir permisos explícitos.
    • La opción "Reemplazar todas las entradas de permisos de objetos secundarios por entradas de permisos heredables de este objeto" (o similar, la primera casilla) fuerza a que todos los elementos dentro de una carpeta (ej: SMYR1) hereden los permisos definidos en ella, sobrescribiendo los permisos explícitos que pudieran tener.

Recursos Compartidos Ocultos

Añadir el símbolo $ al final del nombre de un recurso compartido (ej: Compartido$) en la configuración de la pestaña Compartir lo convierte en un recurso oculto. No aparecerá al examinar la red, pero se podrá acceder a él si se conoce la ruta UNC completa.

Configuración del Sistema Operativo Cliente (Windows XP)

Puntos de Restauración del Sistema (Instantáneas)

  • Ubicación: Windows XP guarda los puntos de restauración del sistema en la carpeta System Volume Information, ubicada en la raíz de cada unidad monitorizada. Esta carpeta está oculta y protegida por el sistema.
  • Visualización: Para verla, es necesario ir a Opciones de carpetaVer y desmarcar la opción "Ocultar archivos protegidos del sistema operativo (recomendado)" y marcar "Mostrar todos los archivos y carpetas ocultos".
  • Frecuencia de Creación Automática: Por defecto, se crean cada 24 horas. Para cambiar la frecuencia (ej: cada 12 horas):
    1. Abrir el Editor del Registro (regedit).
    2. Navegar a la clave: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\SystemRestore.
    3. Modificar el valor DWORD RPGlobalInterval. El valor está en segundos (24 horas = 86400 segundos, 12 horas = 43200 segundos).

Políticas de Seguridad y Derechos de Usuario

Permitir Inicio de Sesión Local a Usuarios de Dominio

  • Comportamiento por Defecto: Los usuarios de dominio (globales) no tienen derecho a iniciar sesión localmente en los servidores miembro o controladores de dominio.
  • Configuración Necesaria:
    1. Abrir la consola de administración de directivas apropiada (ej: Directiva de seguridad del controlador de dominio o Directiva de seguridad local en un servidor miembro). Se accede desde Herramientas Administrativas.
    2. Navegar a Configuración de seguridadDirectivas localesAsignación de derechos de usuario.
    3. Buscar y hacer doble clic en la directiva Permitir inicio de sesión local (Allow log on locally).
    4. Hacer clic en Agregar usuario o grupo...
    5. Asegurarse de seleccionar la ubicación correcta (el dominio) y agregar el nombre del usuario o grupo deseado.
    6. Aceptar los cambios. Es posible que se necesite reiniciar el servidor o ejecutar gpupdate /force para que la directiva se aplique inmediatamente.

Permisos de Usuario sobre Carpetas Creadas Localmente

Un usuario con derecho a iniciar sesión localmente, incluso si crea una carpeta él mismo en el servidor, necesitará los permisos NTFS adecuados (pestaña Seguridad) para gestionarla y compartirla. Los permisos pueden conceptualizarse (de forma simplificada) como:

  • Lectura: Rol similar a Lector.
  • Modificar/Cambio: Rol similar a Colaborador.
  • Control total: Rol similar a Propietario.

Deshabilitar Requisito CTRL+ALT+SUPR para Iniciar Sesión

  • Procedimiento:
    1. Abrir la consola de administración de directivas (ej: Directiva de seguridad del controlador de dominio o Directiva de seguridad local).
    2. Navegar a Configuración de seguridadDirectivas localesOpciones de seguridad.
    3. Buscar la directiva Inicio de sesión interactivo: no requerir CTRL+ALT+SUPR (Interactive logon: Do not require CTRL+ALT+DEL).
    4. Establecerla como Habilitada.
    5. Reiniciar el equipo o ejecutar gpupdate /force.
  • Ventajas y Desventajas:
    • Ventaja: Mayor comodidad para el usuario al iniciar sesión.
    • Inconveniente: Reduce la seguridad, ya que la secuencia CTRL+ALT+SUPR ayuda a proteger contra programas que puedan simular la pantalla de inicio de sesión para robar contraseñas.

Directiva vs. Permiso

Es fundamental distinguir entre:

  • Directiva (Política): Define derechos y configuraciones del sistema o del usuario (ej: derecho a iniciar sesión localmente, requerir CTRL+ALT+SUPR). Se gestionan mediante el Editor de directivas.
  • Permiso: Controla el acceso a objetos específicos como archivos, carpetas, impresoras, etc. (ej: permiso de lectura, escritura, control total). Se gestionan en las propiedades del objeto (pestañas Seguridad y Compartir).
Karma: 8%
Visitas: 0

Entradas relacionadas:

Etiquetas:
Permisos NTFS Seguridad Windows Inicio de Sesión Local Windows Server Delegar Control Active Directory Directivas de Grupo Confianza de Dominio System Restore GPO Carpetas Compartidas Domain Trust Permisos de Red