Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Anexo E: protección de grupos de administradores de empresa en Active Directory
El grupo de administradores de empresa (EA), que se hospeda en el dominio raíz del bosque, no debe contener usuarios en el día a día, con la posible excepción de la cuenta de administrador del dominio raíz, siempre que esté protegida, tal y como se describe en el Anexo D: Protección de cuentas de administrador en Active Directory.
Los administradores de empresa son, de forma predeterminada, miembros del grupo de administradores de cada dominio del bosque. No debe quitar el grupo de EA de los grupos de administradores de cada dominio porque, en caso de un escenario de recuperación ante desastres de bosque, es probable que se requieran derechos de EA. El grupo de administradores de empresa del bosque debe protegerse como se detalla en las instrucciones paso a paso que se indican a continuación.
Para el grupo de administradores de empresa en el bosque:
En los GPO vinculados a UO que contienen servidores miembros y estaciones de trabajo de cada dominio, el grupo de administradores de empresa debe agregarse a los siguientes derechos de usuario en Configuración del equipo/Directivas/Configuración de Windows/Configuración de seguridad/Directivas locales/Asignaciones de derechos de usuario:
Denegar el acceso desde la red a este equipo
Denegación del inicio de sesión como trabajo por lotes
Denegar el inicio de sesión como servicio
Denegar el inicio de sesión localmente
Denegar inicio de sesión a través de Servicios de Escritorio remoto
Configure la auditoría para enviar alertas si se realizan modificaciones en las propiedades o pertenencias del grupo de administradores de empresa.
Instrucciones paso a paso para quitar todos los miembros del grupo de administradores de empresa
En el Administrador del servidor, haga clic en Herramientas y en Usuarios y equipos de Active Directory.
Si no administra el dominio raíz del bosque, en el árbol de consola, haga clic con el botón derecho en <Dominio> y, a continuación, haga clic en Cambiar dominio (donde <Domain> es el nombre del dominio que administra actualmente).
En el cuadro de diálogo Cambiar dominio , haga clic en Examinar, seleccione el dominio raíz del bosque y haga clic en Aceptar.
Para quitar todos los miembros del grupo de EA:
Haga doble clic en el grupo Administradores de empresa y, a continuación, haga clic en la pestaña Miembros .
Seleccione un miembro del grupo, haga clic en Quitar, en Sí y en Aceptar.
Repita el paso 2 hasta que se hayan quitado todos los miembros del grupo de EA.
Instrucciones paso a paso para proteger a los administradores de empresa en Active Directory
En el Administrador del servidor, haga clic en Herramientas y haga clic en Administración de directivas de grupo.
En el árbol de consola, expanda <Bosque>\Dominios\<Dominio>y, a continuación, Objetos de directiva de grupo (donde <Bosque> es el nombre del bosque y <Dominio> es el nombre del dominio donde quiere establecer la directiva de grupo).
Note
En un bosque que contiene varios dominios, se debe crear un GPO similar en cada dominio que requiera que se proteja el grupo de administradores de empresa.
En el árbol de consola, haga clic con el botón derecho en Objetos de directiva de grupo y haga clic en Nuevo.
En el cuadro de diálogo Nuevo GPO , escriba <Nombre> de GPO y haga clic en Aceptar (donde <Nombre> de GPO es el nombre de este GPO).
En el panel de detalles, haga clic con el botón derecho en <Nombre> del GPO y haga clic en Editar.
Vaya a Configuración del equipo\Directivas\Configuración de Windows\Configuración de seguridad\Directivas locales y haga clic en Asignación de derechos de usuario.
Configure los derechos de usuario para impedir que los miembros del grupo de administradores de empresa accedan a servidores miembros y estaciones de trabajo a través de la red haciendo lo siguiente:
Haga doble clic en Denegar acceso a este equipo desde la red y seleccione Definir esta configuración de directiva.
Haga clic en Agregar usuario o grupo y en Examinar.
Escriba Administradores de empresa, haga clic en Comprobar nombres y haga clic en Aceptar.
Haga clic en Aceptar y vuelva a aceptar .
Configure los derechos de usuario para impedir que los miembros del grupo de administradores de empresa inicien sesión como un trabajo por lotes haciendo lo siguiente:
Haga doble clic en Denegar inicio de sesión como un trabajo por lotes y seleccione Definir esta configuración de directiva.
Haga clic en Agregar usuario o grupo y en Examinar.
Note
En un bosque que contiene varios dominios, haga clic en Ubicaciones y seleccione el dominio raíz del bosque.
Escriba Administradores de empresa, haga clic en Comprobar nombres y haga clic en Aceptar.
Haga clic en Aceptar y vuelva a aceptar .
Configure los derechos de usuario para impedir que los miembros del grupo de EA inicien sesión como un servicio haciendo lo siguiente:
Haga doble clic en Denegar inicio de sesión como servicio y seleccione Definir esta configuración de directiva.
Haga clic en Agregar usuario o grupo y, a continuación, haga clic en Examinar.
Note
En un bosque que contiene varios dominios, haga clic en Ubicaciones y seleccione el dominio raíz del bosque.
Escriba Administradores de empresa, haga clic en Comprobar nombres y haga clic en Aceptar.
Haga clic en Aceptar y vuelva a aceptar .
Configure los derechos de usuario para impedir que los miembros del grupo de administradores de empresa inicien sesión localmente en servidores miembros y estaciones de trabajo mediante lo siguiente:
Haga doble clic en Denegar el inicio de sesión localmente y seleccione Definir esta configuración de directiva.
Haga clic en Agregar usuario o grupo y, a continuación, haga clic en Examinar.
Note
En un bosque que contiene varios dominios, haga clic en Ubicaciones y seleccione el dominio raíz del bosque.
Escriba Administradores de empresa, haga clic en Comprobar nombres y haga clic en Aceptar.
Haga clic en Aceptar y vuelva a aceptar .
Configure los derechos de usuario para impedir que los miembros del grupo de administradores de empresa accedan a servidores miembros y estaciones de trabajo a través de servicios de escritorio remoto haciendo lo siguiente:
Haga doble clic en Denegar el inicio de sesión a través de Servicios de Escritorio remoto y seleccione Definir esta configuración de directiva.
Haga clic en Agregar usuario o grupo y, a continuación, haga clic en Examinar.
Note
En un bosque que contiene varios dominios, haga clic en Ubicaciones y seleccione el dominio raíz del bosque.
Escriba Administradores de empresa, haga clic en Comprobar nombres y haga clic en Aceptar.
Haga clic en Aceptar y vuelva a aceptar .
Para salir del Editor de administración de directivas de grupo, haga clic en Archivo y, después, en Salir.
En Administración de directivas de grupo, vincule el GPO a las unidades organizativas de la estación de trabajo y el servidor miembro con los procedimientos siguientes:
Vaya a <Bosque>\Dominios\<Dominio> (donde <Bosque> es el nombre del bosque y <Dominio> es el nombre del dominio en el que desea establecer la directiva de grupo).
Haga clic con el botón derecho en la unidad organizativa a la que se va a aplicar el GPO y haga clic en Vincular un GPO existente.
Seleccione el GPO que acaba de crear y haga clic en Aceptar.
Cree vínculos al resto de unidades organizativas que contengan estaciones de trabajo.
Cree vínculos al resto de unidades organizativas que contengan servidores miembro.
En un bosque que contiene varios dominios, se debe crear un GPO similar en cada dominio que requiera que se proteja el grupo de administradores de empresa.
Important
Si los servidores de salto se usan para administrar controladores de dominio y Active Directory, asegúrese de que los servidores de salto se encuentran en una UO a la que estas GPO no están vinculadas.
Pasos de comprobación
Comprobar la configuración del GPO "Denegar el acceso desde la red a este equipo"
Desde cualquier estación de trabajo o servidor miembro que no se vean afectados por los cambios de la GPO (por ejemplo, un "servidor de salto"), intente acceder a una estación de trabajo o servidor miembro a través de la red afectada por los cambios de la GPO. Para comprobar la configuración del GPO, intente asignar la unidad del sistema utilizando el comando NET USE siguiendo los pasos a continuación:
Inicie sesión con una cuenta que sea miembro del grupo de EA.
Use el mouse para mover el puntero a la esquina superior derecha o inferior derecha de la pantalla. Cuando aparezca la Barra de encantos, haga clic en Buscar.
En el cuadro Buscar, escriba Símbolo del sistema, haga clic con el botón derecho en Símbolo del sistema y, a continuación, haga clic en Ejecutar como administrador para abrir un símbolo del sistema con privilegios elevados.
Cuando se le pida que apruebe la elevación, haga clic en Sí.
En la ventana Símbolo del sistema, escriba net use \\<Nombre del> servidor\c$, donde <Nombre> del servidor es el nombre del servidor miembro o estación de trabajo al que intenta acceder a través de la red.
En la siguiente captura de pantalla se muestra el mensaje de error que debería aparecer.
Comprobar la configuración de GPO "Denegar el inicio de sesión como trabajo por lotes"
Desde cualquier estación de trabajo o servidor miembro afectado por los cambios del GPO, inicie sesión localmente.
Creación de un archivo por lotes
Use el mouse para mover el puntero a la esquina superior derecha o inferior derecha de la pantalla. Cuando aparezca la Barra de encantos, haga clic en Buscar.
En el cuadro Buscar, escriba Bloc de notas y haga clic en Bloc de notas.
En el Bloc de notas, escriba dir c:.
Haga clic en Archivo y en Guardar como.
En el cuadro Nombre de archivo, escriba <Filename>.bat (donde <Filename> es el nombre del nuevo archivo por lotes).
Programación de una tarea
Use el mouse para mover el puntero a la esquina superior derecha o inferior derecha de la pantalla. Cuando aparezca la Barra de encantos, haga clic en Buscar.
En el cuadro Buscar , escriba programador de tareas y haga clic en Programador de tareas.
Note
En equipos que ejecutan Windows 8, en el cuadro Buscar , escriba programar tareas y haga clic en Programar tareas.
Haga clic en Acción y haga clic en Crear tarea.
En el cuadro de diálogo Crear tarea , escriba <Nombre> de tarea (donde <Nombre> de tarea es el nombre de la nueva tarea).
Haga clic en la pestaña Acciones y haga clic en Nuevo.
En el campo Acción , seleccione Iniciar un programa.
En Programa/script, haga clic en Examinar, busque y seleccione el archivo por lotes creado en la sección Crear un archivo por lotes y haga clic en Abrir.
Haz clic en Aceptar.
Haga clic en la pestaña General .
En el campo Opciones de seguridad , haga clic en Cambiar usuario o grupo.
Escriba el nombre de una cuenta que sea miembro del grupo EAs, haga clic en Comprobar nombres y haga clic en Aceptar.
Seleccione Ejecutar tanto si el usuario inició sesión como si no y No almacenar la contraseña. La tarea solo tendrá acceso a los recursos del equipo local.
Haz clic en Aceptar.
Debe aparecer un cuadro de diálogo, solicitando credenciales de cuenta de usuario para ejecutar la tarea.
Después de escribir las credenciales, haga clic en Aceptar.
Debería aparecer un cuadro de diálogo similar al siguiente.
Comprobar la configuración de GPO "Denegar el inicio de sesión como servicio"
Desde cualquier estación de trabajo o servidor miembro afectado por los cambios del GPO, inicie sesión localmente.
Use el mouse para mover el puntero a la esquina superior derecha o inferior derecha de la pantalla. Cuando aparezca la Barra de encantos, haga clic en Buscar.
En el cuadro Buscar , escriba servicios y haga clic en Servicios.
Busque y haga doble clic en Imprimir Spooler.
Haga clic en la pestaña Iniciar sesión .
En Iniciar sesión como, seleccione Esta cuenta.
Haga clic en Examinar, escriba el nombre de una cuenta que sea miembro del grupo EAs, haga clic en Comprobar nombres y haga clic en Aceptar.
En Contraseña: y Confirmar contraseña, escriba la contraseña de la cuenta seleccionada y haga clic en Aceptar.
Haga clic en Aceptar tres veces más.
Haga clic con el botón derecho en el servicio Print Spooler y seleccione Reiniciar.
Cuando se reinicia el servicio, debería aparecer un cuadro de diálogo similar al siguiente.
Reversión de los cambios al servicio de Administrador de trabajos de impresión
Desde cualquier estación de trabajo o servidor miembro afectado por los cambios del GPO, inicie sesión localmente.
Use el mouse para mover el puntero a la esquina superior derecha o inferior derecha de la pantalla. Cuando aparezca la barra de Charms, haga clic en Buscar.
En el cuadro Buscar , escriba servicios y haga clic en Servicios.
Busque y haga doble clic en Imprimir Spooler.
Haga clic en la pestaña Iniciar sesión .
En Iniciar sesión como, seleccione la cuenta del Sistema local y haga clic en Aceptar.
Comprobación de la configuración de GPO "Denegar el inicio de sesión localmente"
Desde cualquier servidor miembro o estación de trabajo afectado por los cambios del GPO, intente iniciar sesión localmente mediante una cuenta que sea miembro del grupo de EA. Debería aparecer un cuadro de diálogo similar al siguiente.
Comprobar la configuración de GPO "Denegar el inicio de sesión a través de Servicios de Escritorio remoto"
Use el mouse para mover el puntero a la esquina superior derecha o inferior derecha de la pantalla. Cuando aparezca la Barra de encantos, haga clic en Buscar.
En el cuadro Buscar , escriba Conexión a Escritorio remoto y, a continuación, haga clic en Conexión a Escritorio remoto.
En el campo Equipo , escriba el nombre del equipo al que desea conectarse y, a continuación, haga clic en Conectar. (también puede escribir la dirección IP en lugar del nombre de equipo).
Proporcione las credenciales para una cuenta que sea miembro del grupo de EA cuando se le solicite.
Debería aparecer un cuadro de diálogo similar al siguiente.
