Uno de los aspectos más importantes pero a su vez cuidadosos en un entorno de servidores es definir quién puede acceder al servidor y qué privilegios puede tener dentro del sistema ya que cualquier cambio no requerido o aprobado puede poner en riesgo toda la infraestructura de la organización.
A muchos de nosotros como personal de TI en nuestras empresas nos ha tocado conceder permisos de administrador a usuarios que no deberían estar en ese grupo por el detalle de que necesitan realizar algún tipo de tarea administrativa y como usuarios normales no es posible.
Un ejemplo real que conocemos es que fue necesario agregar un usuario del grupo de sistemas en el país de Bolivia al grupo administradores para que este pudiera crear usuarios a una unidad organizativa en especial por lo cual fue necesario agregar dicho usuario al grupo Administradores y la sorpresa llegó cuando este usuario eliminó unos equipos muy importantes de producción lo cual generó un pequeño caos en la compañía.
Para solucionar estos inconvenientes Windows Server incluye la opción de delegar la administración de ciertas tareas a usuarios específicos en determinadas OUs, Dominios o GPOs.
1. Comprender delegación de administración en Windows Server 2016
Para muchos puede sonar caótico y peligroso asignar roles administrativos a usuarios que quizás no tienen la experiencia o el conocimiento para gestionar los elementos de Windows Server 2016 y, como bien sabemos, no es posible agregar un usuario al grupo Administradores y restringirle tareas ya que por defecto este grupo concede toda la gestión sobre el servidor.
Al delegar la administración podemos indicar que un usuario sin experiencia profunda pueda crear un usuario en una determina unidad organizativa sin afectar el resto del sistema ya que sólo tendrá acceso a donde determinemos y no a todo el árbol de Windows Server 2016.
Los permisos administrativos se pueden otorgar a un usuario o a un grupo que contiene diversos usuarios pero lo más importante es que tengamos muy claro que permisos y a quién se los concedemos. Para este estudio hemos creado una OU llamada Permisos y hemos creado un grupo llamado Solvetic y un usuario llamado Acceso (se ha incluido al usuario en el grupo Solvetic).
Como sabemos cualquier usuario no puede conectarse al dominio de manera inmediata, debemos autorizar el acceso de ese usuario al dominio, por lo cual le concedemos el permiso al usuario Acceso de conectarse al dominio.
Para establecer este permiso debemos abrir el editor de Políticas de grupo GPO, para ello pulsa manteniendo botón de Windows + R aparecerá para poder introducir comando a ejecuar, escribe:
gpedit.mscirás a la siguiente ruta:
- Directivas de equipo local
- Configuración del Equipo
- Configuración de Windows
- Configuración de Seguridad
- Directivas locales
- Asignación de derechos
Y allí seleccionar la opción Permitir el inicio de sesión local. Con ello este grupo o usuario seleccionado podrá iniciar sesión Local en el equipo o servidor para poder realizar ciertas tareas designadas.
Aquí simplemente debemos agregar el grupo Solvetic para que el usuario Acceso pueda iniciar sesión.
2. Implementar delegación de administración en Windows Server 2016
Una vez hayamos agregado al usuario para que pueda iniciar sesión vamos a comenzar el proceso de delegación al usuario indicado, en este caso Acceso, le vamos a conceder permisos sobre la unidad organizativa Permisos. Para ello daremos clic derecho sobre la unidad organizativa Permisos y seleccionamos la opción Delegar Control.
Vemos que se despliega el asistente para delegación de control. Pulsamos Siguiente.
A continuación debemos agregar el grupo Solvetic que hemos creado, para ello pulsamos en el botón Agregar y buscar el grupo.
Pulsamos de nuevo Siguiente y podemos observar que existen diferentes tareas que se pueden delegar al usuario, como por ejemplo:
- Crear, editar o eliminar grupos
- Crear, editar o eliminar usuarios
- Modificar las pertenencias de los grupos
- Administrar directivas de grupo
En este caso seleccionaremos las opciones Crear, eliminar y administrar grupos y Crear, eliminar y administrar cuentas de usuario seleccionando las casillas respectivas.
Pulsamos Siguiente y podemos ver que hemos finalizado la configuración requerida.
Pulsamos Finalizar para salir del asistente.
3. Verificar la delegación de control
A continuación iniciaremos sesión con el usuario Acceso en Windows Server 2016.
Una vez hayamos iniciado sesión vamos a intentar crear un usuario en la unidad organizativa Permisos para validar que podemos crear un usuario.
Crearemos un usuario llamado Solvetic1. Además crearemos un grupo llamado Pruebas (recordemos que al usuario acceso se le delegó control para crear, editar o eliminar usuarios y grupos).
Si intentamos realizar una tarea que no fue delegada, por ejemplo agregar un equipo o cualquier otra, veremos que se despliega un mensaje indicando que por motivos de seguridad no podemos crear el objeto.
4. Verificar los permisos del grupo creado
Podemos acceder nuevamente al Windows Server 2016 con el usuario Administrador y nos dirigimos a Usuarios y equipos de Active Directory, allí debemos ir al menú Ver y seleccionar la opción Características avanzadas. Allí pulsamos clic derecho sobre la unidad organizativa Permisos y podemos ver que el grupo Solvetic tiene permisos especiales.
Si pulsamos el botón Opciones avanzadas podremos ver los permisos que hemos creado durante el proceso de delegación.
Como vemos usando la delegación de control en Windows Server 2016 podemos asignar tareas específicas sin poner en riesgo la seguridad e integridad del servidor y del dominio.
Algo importante que debemos tener presente es que usando la delegación de control solamente podemos asignar permisos más no restringir o modificar permisos a usuarios en particular. Usemos esta interesante herramienta en nuestras organizaciones para evitar añadir al grupo Administradores cualquier usuario que requiere algún tipo de permiso.
A continuación dejamos un tutorial que puede ser de vuestro interés: