Visión general de la delegación de Active Directory

Understanding Active Directory (AD) permissions is vital for cybersecurity, compliance and business continuity. In this blog, we’ll be going over, at a high level, how Active Directory permission are applied in a domain and how to view them natively.

La forma más común de aplicar permisos de Active Directory es a través de la herramienta Active Directory Users and Computers (ADUC). Hay dos maneras en ADUC de aplicar permisos

Asistente de delegación de Active Directory

El asistente de delegación de Active Directory es una interfaz de usuario fácil de usar para otorgar permisos a un usuario o grupo para realizar una tarea determinada. Vamos a repasar los pasos que tomaríamos como administradores que necesitan habilitar al grupo 'Help Desk' para gestionar el restablecimiento de contraseñas de todos los usuarios en una OU específica.

1. Inicie el asistente haciendo clic derecho en una OU o contenedor y seleccionando 'Delegar Control…'.

Se abrirá el asistente de Delegación de Control de Active Directory:

2. El primer paso en el asistente es elegir los usuarios o grupos a los que queremos otorgar permisos:

3. A continuación, especificamos qué tareas deben poder realizar estos objetos. Podemos elegir de una lista de tareas comunes o crear una tarea personalizada para delegarles acceso para realizarla. Para este ejemplo, nos atendremos al escenario que mencionamos, restableciendo las contraseñas de los usuarios.

4. Finalmente, necesita confirmar su selección haciendo clic en Finalizar:

Como puede ver, hemos otorgado al grupo 'Help Desk' el derecho de 'Restablecer contraseñas de usuario y forzar el cambio de contraseña en el próximo inicio de sesión' a todos los usuarios descendientes de la OU 'SB Test Area'.

Pestaña de seguridad

Revisión de permisos

Para confirmar que los permisos que especificamos en el asistente de delegación se aplicaron correctamente, revisaremos la pestaña de Seguridad en la OU ‘SB Test Area’.

1. Para ver la pestaña de Seguridad en un objeto, necesita habilitar Características Avanzadas en ADUC eligiendo 'Características Avanzadas' del menú desplegable de View:

2. A continuación, haga clic derecho en la OU SB Test Area y seleccione 'Propiedades'; luego vaya a la pestaña de Seguridad:

3. Esta pestaña nos muestra la Lista de Control de Acceso (ACL) para el objeto SB Test Area, que comprende Entradas de Control de Acceso (ACEs). Si revisamos los grupos y cuentas de usuario que se han aplicado a la ACL de la OU SB Test Area, podemos encontrar el grupo de Help Desk que agregamos:

4. Podemos ver que a esta cuenta se le otorgaron 'Permisos Especiales', así que para ver los permisos de seguridad aplicados, tendremos que hacer clic en Avanzado. Podemos ver en la captura de pantalla a continuación que la ACE para el principal 'Help Desk' está otorgando permisos de 'Restablecer Contraseña' en 'Objetos de Usuario Descendientes' del OU SB Test Area.

5. Al hacer clic en Edit aquí nos permite revisar el ACE para el principal de Help Desk en el OU de SB Test Area.

Podemos ver arriba que el permiso que otorgamos a la cuenta de Help Desk en la OU SB Test Area fue solo de ‘Reset password’.

Aplicando permisos directamente

Ahora que hemos visto cómo aplicar permisos utilizando el asistente de delegación, veamos cómo podemos aplicar permisos directamente desde la pestaña de Seguridad.

Digamos que queremos otorgar a mi cuenta el derecho de modificar los miembros de grupos en una OU determinada.

1. Hacemos clic derecho en la OU deseada (KevinJSandbox), vamos a Propiedades y luego abrimos la pestaña de Seguridad:

2. Nos desplazamos hacia abajo y seleccionamos nuestro nombre de cuenta, Kevin Joyce:

3. Luego hacemos clic en 'Agregar…' Como pueden ver, esto otorgó a mi cuenta derechos de acceso 'Leer' a la OU KevinJSandbox, pero desde esta interfaz no tenemos una forma de permitir modificaciones de grupo de manera granular. Para hacer esto, tendremos que hacer clic en 'Avanzado'. Luego hacemos clic en 'Editar' en la ACE del objeto al que acabamos de otorgar acceso:

4. Podemos ver la ACE predeterminada que se creó cuando agregamos mi cuenta de usuario; permite la enumeración de contenidos, la lectura de todas las propiedades y la lectura de permisos solo en el objeto KevinJSandbox. Vamos a modificar esto para permitirnos también modificar la membresía de los grupos descendientes en la OU KevinJSandbox. Para hacer esto, primero, querremos seleccionar 'objetos de grupo descendientes' del desplegable 'Aplica a':

La lista de permisos que se pueden aplicar cambia en función del objeto o los objetos seleccionados en el campo Aplica a:

5. Como puede ver en la lista anterior, no existe el permiso de 'Modify group membership' bajo las entradas de Permissions. Para otorgar al principal la capacidad de modificar únicamente los miembros de un grupo, necesitamos desplazarnos hacia abajo y seleccionar la propiedad 'Write Members' como se muestra en la siguiente captura de pantalla:

Conclusión

Como puede ver, comprender, aplicar, analizar y eliminar permisos de Active Directory puede ser muy complejo. Sin embargo, hay herramientas que pueden ayudarlo con la gestión y auditoría de permisos. En particular, asegúrese de revisar la Netwrix Active Directory Security Solution.

FAQ

¿Qué es la delegación de Active Directory?

Delegar derechos administrativos le permite otorgar a los usuarios los permisos para realizar tareas que requieren permisos elevados, sin asignarlos a grupos altamente privilegiados como Domain Admins y Account Operators.

Cómo delegar privilegios de administrador en Active Directory?

Para delegar permisos de Active Directory, abra la consola de Usuarios y Computadoras de Active Directory y ejecute el asistente de Delegación de AD haciendo clic derecho en una unidad organizativa (OU) o contenedor y seleccionando 'Delegar Control…'

¿Cómo verifico la delegación en Active Directory?

En la consola de Usuarios y Computadoras, vaya al menú Ver y asegúrese de que 'Características avanzadas' esté seleccionado. Luego, haga clic derecho en una OU, elija Propiedades y vaya a la pestaña de Seguridad para ver los permisos delegados.