Saltar al contenido
Inicio / Sin categoría / Primer controlador de dominio en Windows Server 2012 (Parte 4)

Primer controlador de dominio en Windows Server 2012 (Parte 4)

Siguiendo la serie de artículos de nuestro primer controlador de dominio en Windows Server 2012, vamos a configurar las últimas opciones interesantes para cualquier implantación.

Como sabeís por defecto cualquier usuario del dominio puede añadir máquinas al dominio con un máximo de 10. Desde el punto de vista de la seguridad, deberíamos evitar que cualquiera pueda añadir su propio máquina al dominio, para ello vamos a ver como modificar este comportamiento “por defecto”.

Lo que primero que haremos será crear una GPO para alterar este comportamiento, estableciendo un grupo local de dominio (que hemos creado con anterioridad) para controlar los usuarios que podrán añadir máquinas al dominio. Esto nos permitirá controlar la delegación de tareas administrativas para la unión de máquinas al dominio.

Nos creamos un grupo local de dominio llamado: ACL AD Equipo Dominio

Dominio_54.png
En este grupo agregamos como miembros a los usuarios y/o grupos que queramos delegar las tareas añadir máquinas al dominio. Una vez que hemos creado el grupo local, pasamos a configurar nuestra GPO (Unir Equipos Dominio), para ello abrimos la consola de administración de directivas (GPMC.MSC), creamos nuestra GPO y realizamos la siguiente configuración:

Agregamos el grupo ACL ADD Equipo Dominio y Domain Admins (Admins. del Dominio) como grupos con permiso de Añadir equipos al dominio

Dominio_55.png

Y vinculamos la GPO a la OU de Domain Controllers (Controladores de Dominio), y nos aseguramos del orden de la nueva GPO (por defecto se situará después de la Default Domain Contollers Policy) para nuestros valores establecidos en nuestra GPO se reemplacen con los actuales de la Default Domain Contollers Policy.

Dominio_56.png

Hasta ahora tenemos controlado que usuarios pueden unir las máquinas al dominio, pero por defecto podrán unir como máximo 10 máquinas (esto no afecta a los miembros del grupo Domain Admins (Administradores del Dominio)). Si tenemos usuarios que no pertencen al grupo Domain Admin no podrán continuar añadiendo máquinas al dominio una vez que han superado dicha cuota, para modificarla debemos hacerlo desde ADSI Edit (Esta pequeña aplicación nos permite ver y modificar el esquema del directorio activo por lo que debe ser manejada con muchísimo cuidado ya que si modificamos erróneamente algún parámetro se puede corromper este ya que la herramienta no incorpora ningún tipo de control de errores sobre la edición y estos cambios se producen de manera inmediata). Una vez que la abrimos tenemos que seleccionar Default Naming Context (opción por defecto y vamos a las propiedades del Dominio y buscamos el atributo ms-DS-MachineAccountQuota, por defecto está establecido a 10 como hemos comentado anteriormente:

Dominio_58.png
Esn te caso lo que queremos hacer es que los usuarios puedan unir al domnio una cantidad de máquinas ilimitada, para ello establecemos el valor de ms-DS-MachineAccountQuota a 0

Dominio_59.png

Como hemos mencionado antes, los cambios desde el ADSI Edit se aplican de forma inmediata así que tened mucho cuidado con cualquier cambio desde aquí 🙂

Ahora si ya hemos finalizado, solo quedaría añadir a los usuarios o grupos como miembros del grupo ACL ADD Equipo Dominio y podemos seguir manteniendo el mismo principio de seguridad: MPP (Mínimo Privilegio Posible). De esta forma si tenemos varios IT Pros en nuestra empresa podemos delegar los permisos administrativos sin que para ello necesiten pertenece al grupo de Administradores del Dominio (de esto hablaremos en el siguiente artículo)

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

¡Comparte!