Anexo G: protección de grupos de administradores en Active Directory

Anexo G: protección de grupos de administradores en Active Directory

Tal como sucede con los grupos de Administradores de empresa (EA) y Administradores de dominios (DA), la pertenencia al grupo de Cuenta predefinida de administradores (BA) solo debe ser necesaria en escenarios de compilación o recuperación ante desastres. No debe haber cuentas de usuario diarias en el grupo de Administradores, con la excepción de la Cuenta predefinida de administradores para el dominio, si se ha protegido tal como se describe en el Anexo D: Protección de Cuentas predefinidas de administradores en Active Directory.

Los administradores son, de manera predeterminada, los propietarios de la mayoría de los objetos de AD DS en sus respectivos dominios. La pertenencia a este grupo puede ser necesaria en escenarios de compilación o de recuperación ante desastres en los que se requiera la propiedad o la capacidad de tomar posesión de los objetos. Además, los miembros de DA y EA heredan una serie de sus derechos y permisos en virtud de su pertenencia predeterminada al grupo de Administradores. No se debe modificar el anidamiento de grupos predeterminado en grupos con privilegios en Active Directory, y se debe proteger el grupo de Administradores de cada dominio, tal como se describe en las instrucciones paso a paso que se indican a continuación.

! PRECAUCIÓN Los pasos descritos en este documento deben probarse exhaustivamente en un entorno que no sea de producción antes de ejecutarse en producción.

Para el grupo Administradores de cada dominio del bosque:

  1. Quite todos los miembros del grupo de Administradores, con la posible excepción de la cuenta de administrador local del dominio, si se ha protegido tal como se describe en el Anexo D: Protección de Cuentas predefinidas de administradores en Active Directory.

  2. En las GPO vinculadas a UO que contienen servidores miembros y estaciones de trabajo de cada dominio, el grupo de BA debe agregarse a los siguientes derechos de usuario en Configuración del equipo/Directivas/Configuración de Windows/Configuración de seguridad/Directivas locales/Asignaciones de derechos de usuario:

    • Denegar el acceso desde la red a este equipo

    • Denegación del inicio de sesión como trabajo por lotes

    • Denegar el inicio de sesión como servicio

  3. En la UO de los controladores de dominio de cada dominio del bosque, el grupo de Administradores debe tener los siguientes derechos de usuario:

    • Obtener acceso a este equipo desde la red

    • Permitir el inicio de sesión local

    • Permitir inicio de sesión a través de Servicios de Escritorio remoto

  4. La auditoría debe configurarse para enviar alertas si se realizan modificaciones en las propiedades o la pertenencia del grupo de administradores.

Instrucciones paso a paso para quitar todos los miembros del grupo de Administradores

  1. En el Administrador del servidor, haga clic en Herramientas y en Usuarios y equipos de Active Directory.

  2. Para quitar todos los miembros del grupo de Administradores, realice los siguientes pasos:

    1. Haga doble clic en el grupo Administradores y haga clic en la pestaña Miembros .

      Captura de pantalla que muestra la pestaña Miembros para quitar todos los miembros del grupo de Administradores.

    2. Seleccione un miembro del grupo, haga clic en Quitar, en y en Aceptar.

  3. Repita el paso 2 hasta que se hayan quitado todos los miembros del grupo de Administradores.

Instrucciones paso a paso para proteger grupos de Administradores en Active Directory

  1. En el Administrador del servidor, haga clic en Herramientas y haga clic en Administración de directivas de grupo.

  2. En el árbol de consola, expanda <Bosque>\Dominios\<Dominio> y, después, Objetos de directivas de grupo (donde <Bosque> es el nombre del bosque y <Dominio> es el nombre del dominio donde quiere establecer la directiva de grupo).

  3. En el árbol de consola, haga clic con el botón derecho en Objetos de directiva de grupo y haga clic en Nuevo.

    Captura de pantalla que muestra dónde seleccionar Nuevo para que pueda proteger los grupos de Administradores en Active Directory.

  4. En el cuadro de diálogo Nuevo GPO , escriba <Nombre> de GPO y haga clic en Aceptar (donde Nombre de GPO es el nombre de este GPO).

    Captura de pantalla que muestra dónde asignar un nombre a la G P O en el cuadro de diálogo Nueva GPO para que pueda proteger los grupos de Administradores.

  5. En el panel de detalles, haga clic con el botón derecho en <Nombre del GPO> y haga clic en Editar.

  6. Vaya a Configuración del equipo\Directivas\Configuración de Windows\Configuración de seguridad\Directivas locales y haga clic en Asignación de derechos de usuario.

    Captura de pantalla que muestra dónde navegar para que pueda seleccionar la opción de administración de derechos de usuario para proteger los grupos de Administradores.

  7. Configure los derechos de usuarios para impedir que los miembros del grupo de Administradores accedan a servidores miembros y estaciones de trabajo a través de la red haciendo lo siguiente:

    1. Haga doble clic en Denegar acceso a este equipo desde la red y seleccione Definir esta configuración de directiva.

    2. Haga clic en Agregar usuario o grupo y en Examinar.

    3. Escriba Administradores, haga clic en Comprobar nombres y haga clic en Aceptar.

      Captura de pantalla que muestra cómo comprobar que ha configurado los derechos de usuario para impedir que los miembros del grupo de Administradores accedan a servidores miembros y estaciones de trabajo a través de la red.

    4. Haga clic en Aceptar y vuelva a aceptar .

  8. Configure los derechos de usuario para impedir que los miembros del grupo de Administradores inicien sesión como un trabajo por lotes haciendo lo siguiente:

    1. Haga doble clic en Denegar inicio de sesión como un trabajo por lotes y seleccione Definir esta configuración de directiva.

    2. Haga clic en Agregar usuario o grupo y en Examinar.

    3. Escriba Administradores, haga clic en Comprobar nombres y haga clic en Aceptar.

      Captura de pantalla que muestra cómo comprobar que ha configurado los derechos de usuario para impedir que los miembros del grupo de Administradores inicien sesión como un trabajo por lotes.

    4. Haga clic en Aceptar y vuelva a aceptar .

  9. Configure los derechos de usuario para impedir que los miembros del grupo de Administradores inicien sesión como un servicio haciendo lo siguiente:

    1. Haga doble clic en Denegar inicio de sesión como servicio y seleccione Definir esta configuración de directiva.

    2. Haga clic en Agregar usuario o grupo y en Examinar.

    3. Escriba Administradores, haga clic en Comprobar nombres y haga clic en Aceptar.

      Captura de pantalla que muestra cómo comprobar que ha configurado los derechos de usuario para impedir que los miembros del grupo de Administradores inicien sesión como un servicio.

    4. Haga clic en Aceptar y vuelva a aceptar .

  10. Para salir del Editor de administración de directivas de grupo, haga clic en Archivo y, después, en Salir.

  11. En Administración de directivas de grupo, vincule el GPO a las unidades organizativas de la estación de trabajo y el servidor miembro con los procedimientos siguientes:

    1. Vaya a <Bosque>>\Dominios\<Dominio> (donde <Bosque> es el nombre del bosque y <Dominio> es el nombre del dominio en el que desea establecer la directiva de grupo).

    2. Haga clic con el botón derecho en la unidad organizativa a la que se va a aplicar el GPO y haga clic en Vincular un GPO existente.

      Captura de pantalla que muestra la opción de menú Vincular una G P O existente al hacer clic con el botón derecho en la UO.

    3. Seleccione el GPO que acaba de crear y haga clic en Aceptar.

      Captura de pantalla que muestra dónde seleccionar la GPO que acaba de crear.

    4. Cree vínculos al resto de unidades organizativas que contengan estaciones de trabajo.

    5. Cree vínculos al resto de unidades organizativas que contengan servidores miembro.

      Important

      Si los servidores de salto se usan para administrar controladores de dominio y Active Directory, asegúrese de que los servidores de salto se encuentran en una UO a la que estas GPO no están vinculadas.

      Note

      Al implementar restricciones en el grupo de administradores de GPO, Windows aplica la configuración a los miembros del grupo de administradores local de un equipo, además del grupo de administradores del dominio. Por lo tanto, debe tener precaución al implementar restricciones en el grupo de Administradores. Aunque se recomienda que los inicios de sesión de red, por lotes y de servicio estén prohibidos para los miembros del grupo de Administradores siempre que sea factible dicha prohibición, no debe restringir los inicios de sesión locales ni los que se realizan mediante Servicios de Escritorio remoto. El bloqueo de estos tipos de inicio de sesión puede bloquear la administración legítima de un equipo por parte de los miembros del grupo de Administradores local.

      En la siguiente captura de pantalla se muestran las opciones de configuración que bloquean el uso incorrecto de las Cuentas predefinidas de administradores locales y de dominio, además del uso incorrecto de los Grupos predefinidos de administradores locales o de dominio. Tenga en cuenta que el derecho de usuario Denegar inicio de sesión a través de Servicios de Escritorio remoto no incluye al grupo de Administradores, ya que incluirlo en esta configuración también bloquearía estos inicios de sesión para las cuentas que son miembros del grupo de Administradores del equipo local. Si los servicios de los equipos están configurados para ejecutarse en el contexto de cualquiera de los grupos con privilegios descritos en esta sección, la implementación de esta configuración puede provocar errores en los servicios y las aplicaciones. Por lo tanto, al igual que con todas las recomendaciones de esta sección, debe probar a fondo la aplicabilidad de la configuración en su entorno.

      Captura de pantalla que muestra las opciones de configuración que bloquean el uso incorrecto de las Cuentas predefinidas de administradores locales y de dominio.

Instrucciones paso a paso para conceder derechos de usuario al grupo de Administradores

  1. En el Administrador del servidor, haga clic en Herramientas y haga clic en Administración de directivas de grupo.

  2. En el árbol de consola, expanda <Bosque>\Dominios\<Dominio> y, después, Objetos de directivas de grupo (donde <Bosque> es el nombre del bosque y <Dominio> es el nombre del dominio donde quiere establecer la directiva de grupo).

  3. En el árbol de consola, haga clic con el botón derecho en Objetos de directiva de grupo y haga clic en Nuevo.

    Captura de pantalla que muestra el menú que se muestra al hacer clic con el botón derecho en Objetos de la directiva de grupo.

  4. En el cuadro de diálogo Nuevo GPO , escriba <Nombre> de GPO y haga clic en Aceptar (donde <Nombre> de GPO es el nombre de este GPO).

    Captura de pantalla que muestra dónde asignar un nombre a la G P O para que se puedan proteger los grupos de Administradores.

  5. En el panel de detalles, haga clic con el botón derecho en <Nombre del GPO> y haga clic en Editar.

  6. Vaya a Configuración del equipo\Directivas\Configuración de Windows\Configuración de seguridad\Directivas locales y haga clic en Asignación de derechos de usuario.

    Captura de pantalla que muestra dónde navegar para que pueda seleccionar la administración de derechos de usuario para proteger los grupos de Administradores.

  7. Configure los derechos de usuario para permitir que los miembros del grupo Administradores accedan a los controladores de dominio a través de la red haciendo lo siguiente:

    1. Haga doble clic en Acceder a este equipo desde la red y seleccione Definir esta configuración de directiva.

    2. Haga clic en Agregar usuario o grupo y en Examinar.

    3. Haga clic en Agregar usuario o grupo y en Examinar.

      Captura de pantalla que muestra cómo comprobar que ha configurado los derechos de usuario para permitir que los miembros del grupo Administradores accedan a los controladores de dominio a través de la red.

    4. Haga clic en Aceptar y vuelva a aceptar .

  8. Configure los derechos de usuario para permitir que los miembros del grupo Administradores inicien sesión localmente mediante lo siguiente:

    1. Haga doble clic en Permitir inicio de sesión localmente y seleccione Definir esta configuración de directiva.

    2. Haga clic en Agregar usuario o grupo y en Examinar.

    3. Escriba Administradores, haga clic en Comprobar nombres y haga clic en Aceptar.

      Captura de pantalla que muestra cómo comprobar que ha configurado los derechos de usuario para permitir que los miembros del grupo Administradores inicien sesión localmente.

    4. Haga clic en Aceptar y vuelva a aceptar .

  9. Configure los derechos de usuario para permitir que los miembros del grupo Administradores inicien sesión con Servicios de Escritorio remoto mediante lo siguiente:

    1. Haga doble clic en Permitir inicio de sesión a través de Servicios de Escritorio Remoto y seleccione Definir esta configuración de directiva.

    2. Haga clic en Agregar usuario o grupo y en Examinar.

    3. Escriba Administradores, haga clic en Comprobar nombres y haga clic en Aceptar.

      Captura de pantalla que muestra cómo comprobar que ha configurado los derechos de usuario para permitir que los miembros del grupo Administradores inicien sesión mediante Servicios de Escritorio remoto.

    4. Haga clic en Aceptar y vuelva a aceptar .

  10. Para salir del Editor de administración de directivas de grupo, haga clic en Archivo y, después, en Salir.

  11. En Administración de la directiva de grupo, vincule la GPO a la UO de controladores de dominio haciendo lo siguiente:

    1. Vaya a <Bosque>\Dominios\<Dominio> (donde <Bosque> es el nombre del bosque y <Dominio> es el nombre del dominio en el que desea establecer la directiva de grupo).

    2. Haga clic con el botón derecho en la UO de controladores de dominio y haga clic en Vincular una GPO existente.

      Captura de pantalla que muestra la opción de menú Vincular una GPO existente al intentar vincular la G P O a la UO de controladores de dominio.

    3. Seleccione el GPO que acaba de crear y haga clic en Aceptar.

      Captura de pantalla que muestra dónde seleccionar la GPO que acaba de crear mientras vincula la G P O a las estaciones de trabajo y al servidor miembro.

Pasos de comprobación

Comprobar la configuración del GPO "Denegar el acceso desde la red a este equipo"

Desde cualquier estación de trabajo o servidor miembro que no se vean afectados por los cambios de la GPO (por ejemplo, un "servidor de salto"), intente acceder a una estación de trabajo o servidor miembro a través de la red afectada por los cambios de la GPO. Para comprobar la configuración del GPO, intente asignar la unidad del sistema mediante el comando NET USE .

  1. Inicie sesión localmente con una cuenta que sea miembro del grupo de Administradores.

  2. Use el mouse para mover el puntero a la esquina superior derecha o inferior derecha de la pantalla. Cuando aparezca la barra De accesos , haga clic en Buscar.

  3. En el cuadro Buscar , escriba símbolo del sistema, haga clic con el botón derecho en Símbolo del sistema y, a continuación, haga clic en Ejecutar como administrador para abrir un símbolo del sistema con privilegios elevados.

  4. Cuando se le pida que apruebe la elevación, haga clic en .

    Captura de pantalla que resalta el cuadro de diálogo Control de cuentas de usuario.

  5. En la ventana del símbolo del sistema, escriba net use \\Nombre> del< servidor\c$, donde <Nombre> del servidor es el nombre del servidor miembro o estación de trabajo al que intenta acceder a través de la red.

  6. En la siguiente captura de pantalla se muestra el mensaje de error que debería aparecer.

    Captura de pantalla que resalta el mensaje de error de inicio de sesión.

Comprobar la configuración de GPO "Denegar el inicio de sesión como trabajo por lotes"

Desde cualquier estación de trabajo o servidor miembro afectado por los cambios del GPO, inicie sesión localmente.

Creación de un archivo por lotes

  1. Use el mouse para mover el puntero a la esquina superior derecha o inferior derecha de la pantalla. Cuando aparezca la barra De accesos , haga clic en Buscar.

  2. En el cuadro Buscar , escriba bloc de notas y haga clic en Bloc de notas.

  3. En el Bloc de notas, escriba dir c:.

  4. Haga clic en Archivo y en Guardar como.

  5. En el campo Nombre de archivo, escriba <Filename>.bat (donde <Filename> es el nombre del nuevo archivo por lotes).

Programación de una tarea

  1. Use el mouse para mover el puntero a la esquina superior derecha o inferior derecha de la pantalla. Cuando aparezca la barra De accesos , haga clic en Buscar.

  2. En el cuadro Buscar , escriba programador de tareas y haga clic en Programador de tareas.

    Note

    En los equipos que ejecutan Windows 8, en el cuadro Buscar, escriba programar tareas y haga clic enProgramar tareas.

  3. Haga clic en Acción y haga clic en Crear tarea.

  4. En el cuadro de diálogo Crear tarea , escriba <Nombre> de tarea (donde <Nombre> de tarea es el nombre de la nueva tarea).

  5. Haga clic en la pestaña Acciones y haga clic en Nuevo.

  6. En el campo Acción , seleccione Iniciar un programa.

  7. En el campo Programa/script , haga clic en Examinar, busque y seleccione el archivo por lotes creado en la sección Crear un archivo por lotes y haga clic en Abrir.

  8. Haz clic en Aceptar.

  9. Haga clic en la pestaña General .

  10. En el campo Opciones de seguridad , haga clic en Cambiar usuario o grupo.

  11. Escriba el nombre de una cuenta que sea miembro del grupo Administradores, haga clic en Comprobar nombres y haga clic en Aceptar.

  12. Seleccione Ejecutar tanto si el usuario ha iniciado sesión como si no y No almacenar la contraseña. La tarea solo tendrá acceso a los recursos del equipo local.

  13. Haz clic en Aceptar.

  14. Debe aparecer un cuadro de diálogo, solicitando credenciales de cuenta de usuario para ejecutar la tarea.

  15. Después de escribir la contraseña, haga clic en Aceptar.

  16. Debería aparecer un cuadro de diálogo similar al siguiente.

    Captura de pantalla que resalta el cuadro de diálogo Programador de tareas.

Comprobar la configuración de GPO "Denegar el inicio de sesión como servicio"

  1. Desde cualquier estación de trabajo o servidor miembro afectado por los cambios del GPO, inicie sesión localmente.

  2. Use el mouse para mover el puntero a la esquina superior derecha o inferior derecha de la pantalla. Cuando aparezca la barra De accesos , haga clic en Buscar.

  3. En el cuadro Buscar , escriba servicios y haga clic en Servicios.

  4. Busque y haga doble clic en Imprimir Spooler.

  5. Haga clic en la pestaña Iniciar sesión .

  6. En el campo Iniciar sesión como, seleccione Esta cuenta.

  7. Haga clic en Examinar, escriba el nombre de una cuenta que sea miembro del grupo Administradores, haga clic en Comprobar nombres y haga clic en Aceptar.

  8. En los campos Contraseña y Confirmar contraseña , escriba la contraseña de la cuenta seleccionada y haga clic en Aceptar.

  9. Haga clic en Aceptar tres veces más.

  10. Haga clic con el botón derecho en Imprimir cola y haga clic en Reiniciar.

  11. Cuando se reinicia el servicio, debería aparecer un cuadro de diálogo similar al siguiente.

    Protección de los grupos de administrador

Reversión de los cambios al servicio de Administrador de trabajos de impresión

  1. Desde cualquier estación de trabajo o servidor miembro afectado por los cambios del GPO, inicie sesión localmente.

  2. Use el mouse para mover el puntero a la esquina superior derecha o inferior derecha de la pantalla. Cuando aparezca la barra De accesos , haga clic en Buscar.

  3. En el cuadro Buscar , escriba servicios y haga clic en Servicios.

  4. Busque y haga doble clic en Imprimir Spooler.

  5. Haga clic en la pestaña Iniciar sesión .

  6. En el campo Iniciar sesión como, haga clic en Cuenta del sistema local y en Aceptar.

  • Last updated on