miércoles, 28 de marzo de 2012

Operador Windows de Impresión

Por defecto Microsoft tiene un grupo que se llama "Operadores de impresión" a mi gusto con demasiados privilegios.

"Los miembros de este grupo pueden administrar, crear, compartir y eliminar impresoras que están conectadas a los controladores del dominio. También pueden administrar objetos de impresora de Active Directory en el dominio. Los miembros de este grupo pueden iniciar la sesión de forma local en los controladores del dominio y apagarlos. Este grupo no tiene ningún miembro predeterminado. Puesto que los miembros de este grupo pueden cargar y descargar controladores de dispositivos en todos los controladores del dominio, agregue los usuarios con cautela."

"Permitir el inicio de sesión local; Apagar el sistema."



Para limitar estos privilegios, que creo excesivos, he hecho lo siguiente:

Creo un grupo que se llama "PRN Operador TMP" y lo hago miembro de "Opers. Impresión"

 
En el nuevo grupo "PRN Operador TMP" añado al usuario "usr1" que es usuario que le concederemos los nuevos privilegios.


En la OU donde tengo el Servidor de impresión creo una GPO nueva, en este caso se llama "Test Impresion"


La edito con la siguiente configuración de GPO, denegando los siguientes derechos que ha heredado del grupo  "Operadores de impresión"


Con lo que evitamos que acceda al servidor.

Ahora nos quedaría evitar que tenga el privilegio de instalarnos un driver:


Esta directiva no incluye a los administradores



Para gestionar las impresora tiene que poner \\nombre_del_servidor-> "Impresoras y faxes"


Y en Impresoras y Faxes ya tienes el control que buscábamos.


Pruebas realizadas con un servidor Windows 2003 SP2 y una estación de trabajo con Windows XP.


El comportamiento en Windows 2008 es diferente!!


lunes, 26 de marzo de 2012

Operador Windows DNS


A veces para descargar trabajo delegamos la responsabilidad de ciertos privilegios de administrar el AD en algún operador. No siempre es fácil asignar los permisos correctos, intentaré en unos cuantos post explicar como los he configurado yo.

La finalidad es que NO pueda eliminar la zona, pero si gestionar los registros que contiene.

En este caso quiero delegar el crear y eliminar registros en el DNS de mi dominio.

Lo primero sería instalar la herramientas administrativas al usuario que queremos dar esta gestión, no es necesario darle acceso a un terminal en el servidor. (Paquete de herramientas de administración de Windows Server 2003 Service Pack 2 para las ediciones x86).



Aquí encontrarás la herramienta de gestión de DNSAl ejecutarlo nos pedirá que Servidor DNS queremos gestionar, con darle uno cualquiera de nuestra zona integrada en el AD tendría bastante.

Si nos sale el siguiente error:


Debemos irnos a un servidor DNS y concederle ciertos permisos.

Con los siguientes permisos podrá dar de alta registros y dar de baja únicamente los registros que este usuario (no grupo) a dado de alta.

Es preferible trabajar con grupos en lugar de usuarios, en general para todo.


Todos los permisos los asignare a nivel de grupo. Otro usuario perteneciente al mismo grupo NO podrá borrar registros que él no hay creado. Aunque pertenezcas el mismo grupo los privilegios del registro DNS se le asignan al usuario.

He creado el registro AA con el dato "pc3" desde una máquina que estaba logeado como "usr1" aunque los permisos de DNS está asignados al grupo "DNS Operadores TMP". Con lo que observamos que se queda el usuario con los permisos especiales.


Si queremos que nuestro usuario operador (en este caso usr1) pueda gestionar TODOS los registros de nuestro dominio, pero tomando las medidas necesarias para evitar que por accidente nos borre algún registro, le podemos dar más responsabilidad. Le concederemos el permiso de eliminar los registros que el no haya creado, pero previamente se tendrá que conceder el mismo permisos sobre los registros.

En el servidor haremos lo siguiente:



Cuando quiera eliminar un registro tendrá que darse permisos:



Luego al intentar eliminarlo verá que no tiene problemas.

Importante: Tanto para las altas de registros como la eliminación hay que poner los mismos permisos en la zona inversa


Pruebas realizadas con servidores Windows 2003 R2 y clientes XP