Usuario para trabajar con el Directorio activo

[Carlos Admirador]

Hola gente!!

Tengo una aplicación NET que crea OUs en el directorio activo, También crea usuarios, crea grupos, añade usuarios a grupos, deshabilitar usuarios, elimina OUs y grupos,...

Utilizamos un usuario AdminPRODA, con permisos CONTROL TOTAL sobre el dominio mydomain.es. NO es una buena práctica.

He visto que la gestión de permisos para el DA es bastante compleja.

Qué permisos tendría que tener AdminPRODA para realizar esas tareas?

Saludos gente!!

[Carlos Admirador]

No es exactamente sencillo administrar el modelo de seguridad de Active Directory. La naturaleza de un servicio de directorio jerárquico que sirve muchos medios propósitos (incluyendo el directorio de la aplicación, directorio de autenticación, directorio de administración de escritorio y así sucesivamente) el modelo de seguridad puede ser difícil. Más importante, si no llevas un enfoque proactivo para la gestión de la seguridad de Active Directory, puede rápidamente ponerse fuera de control.

Consideremos, por ejemplo, la simple tarea de delegar la gestión de cuentas de usuario en Active Directory. Debido a la naturaleza granular del modelo de seguridad de Active Directory, una tarea aparentemente sencilla como la gestión de cuentas de usuario podría convertirse en una gran variedad de permisos que tendrá que delegar:

• Permiso para crear objetos de usuario
• Permiso para eliminar los objetos de usuario
• Permiso para mover los objetos de usuario
• Permisos de propiedades del objeto usuario (esto puede dividir en propiedades sensibles, como departamento, manager y pertenencia a grupos y propiedades no sensibles tales como teléfono y oficina de dirección)
• Permiso para restablecer la contraseña del usuario o desbloquear su cuenta
• Permiso para controlar quién puede cambiar los permisos de un usuario

Esta lista es de ninguna manera exhaustiva, pero subraya el potencial complejidad de administrar la delegación sólo esta una tarea. Considerar que cada una de estas tareas (o al menos grupos de ellos) puede ser delegada a otros subgrupos. Estos conjuntos de permisos también pueden variar basado en la unidad organizativa (OU) en el que los usuarios se encuentran. Añadir a la mezcla que objetos padres en Active Directory pueden heredar los permisos de sus hijos (por ejemplo, los permisos pueden moverse desde el Marketing OU a la unidad organizativa usuarios bajo Marketing). Puedes ver las cosas pueden realmente llegar arruinadas si no tienes cuidado

https://technet.microsoft.com/es-es/library/dn451249.aspx

On your domain object, you need to assign the querying user the "Read MemberOf" right to User objects.

• Open AD U&C browse to your domain object
• Right click and go to properties
  adu-n-c-domain http://sysadmin1138.net/images/adu-n-c-domain.png
  
• Security tab, click Advanced
• Click Add
• Enter the user name to add
• Click the Properties tab
• In 'Apply Onto' change the type to User
• Click the "Read MemberOf" checkbox
  ldap-read-member-of http://sysadmin1138.net/images/ldap-read-member-of.png
  
• OK out of there

Salen "muchísimas" propiedades. Muy granular.

Un ejemplo: un usuario pueda ingresar/modificar el campo teléfono a todos los usuarios del dominio ¿es así?

En ese caso, botón derecho sobe el dominio / Delegar Control / usuario o grupo al que le delegas / Crear una tarea personal para delegar / Solo los siguientes objetos en la carpeta y marcar Usuaruio objetos / marcar Específico de la propiedad / Leer y escribir Opciones de teléfono y correo (si, están juntas)