ayuda con permisos! todos los usuarios son administradores. URGENTE!

Hola, Carlos:

De buenas a primeras, tener a TODOS los usuarios del dominio con privilegios
administrativos es una temeridad, ya que te garantiza problemas con tanto las
máquinas como con la arquitectura de red.

La cuenta de Administración local está concebida para corregir problemas de
funcionamiento locales en la máquina, NO para trabajar habitualmente con el
sistema (para lo que ya está la cuenta de "usuario"). Para los casos de
dominio,
ésto se extrapola con las cuentas equivalenetes, con la "pega" de que ya no
sólo
las cuentas de Admin. de dominio tienen permisos en una única máquina, sino
en las 30 máquinas de tu scenario. Por las características de las cuentas de
administración, se convierten en el objeto de deseo de los usuarios finales,
siendo al mismo tiempo la causa principal de las pesadillas de los Admin. LAN

Te recomiendo eches un vistazo a todo el grupo de aplicaciones LAN de la
compañía y determines qué aplicaciones / servicios requieren permisos de
caracter elevado para su ejecución, al igual que los servicios asociados.
Posteriormente, te recomiendo revises tu consola DSA.msc para corregir los
privilegios de las cuentas de usuario (re-instalando las aplicaciones desde
una
cuenta local, si es necesario) para asegurarte que se ejecuten las
aplicaciones
con los permisos estrictamente necesarios.

Por último, restringe el acceso al Registro del Sistema por GPO a nivel de
dominio, así como establecer algunas reglas WMI para impedir que <users>
ejecuten aplicaciones no autorizadas pero va a ser una tarea complicada
si los usuarios tienen los mismos permisos que tú.
·
Los PC''s me caen mal.
Los usuarios, peor todavía
Curiosamente, las usuarias no... ;-P
==Desiderio Ondo | Ing. en Informática.
Certificado ITIL | Certificado MCSE.


"Carlos" wrote:

Saludos a todos.
Tengo una servidor con 2003 Server que sirve documentos.
Hoy, sin haber hecho nada especial, todos los usuarios pueden entrar a
todas las carpetas. No es que sean administradores, porque siguen sin
poder iniciar sesión o mas cosas, pero a nivel de permisos en carpetas
se comportan como tal.
Si quito el grupo "administradores" en los permisos dejan de entrar,
pero no pertenecen a ese grupo!!
He creado una carpeta con solo permisos para los "administradores" y
entran. He quitado "administradores" y he añadido todos los grupos y
usuarios miembros de "administradores" y ya no entran. No tiene
sentido!
He visto que uno de los miembros del grupo administradores es "red" de
NT authority. En otros servidores (de otros dominios) esto no lo
tengo. Al principio he pensado que por aquí venia, porque si creo una
carpeta y le doy permisos solo a "red" también entran, pero quito
"red" del grupo "administradores" y siguen entrando.
No hay politicas especiales ni nada raro. Es un dominio sencillo con
30 usuarios y 8 grupos.
¿A alguien se le ocurre algo?
.

ŽGracias por contestar Desiderio, pero quizás no me he explicado bien
o el titulo daba lugar a confusión.
Lo que me pasó es que todos los usuarios podían entrar a todas las
carpetas de documentos como si fueran administradores, pero NO lo
eran.
Incluso creé una carpeta y di permisos solo para el grupo
administradores (quité incluso system y owner) y entraban.Pero ningun
usuario pertenecia al grupo administradores ni a ningún subgrupo
miembro de otro grupo, que acabara siendolo.
Es como si fueran administradores, pero solo a nivel de carpetas, nada
mas. No pidían iniciar sesion en el servidor, etc.

Al final si que era porque en el grupo administradores se habia colado
(ni idea de como) el grupo RED de NT authotity. Fue dificil de
detectar, porque no "refrescaba" automaticamente ni siquiera haciendo
un gpupdate. Si cambio algun otro permiso, los privilegios se
establecen automaticamente, pero si quito este grupo, los permisos
tardan unos 20 minutos en "darse cuenta".
Me falta saber para que sirve exactamente este grupo especial llamado
RED.

Un saludo.

Hola, Carlos:

No suele ser muy buena idea eliminar la cuenta SYSTEM de entre los permisos
NTFS en directorios, ya que entonces restringes al propio SO para hacer las
tareas que requiera en el mismo...

La cuenta RED en sistemas MS wNT es la predecesora de la actual NETWORK,
una cuenta cuya función en la vida es de facilitar un logon secundario "a
nivel
humano" para conexión a nodos de red. Generalmente, no suele tener passwords
asociadas y no permite el inicio de sesión local. No hay que confundir ésta
cuenta
con la de NETWORK SERVICE, cuyo propósito es de permitir conexiones a nivel
de máquina con dispositivos en red, para entendernos.

Después de todo, la lógica es aplastante: si creas una carpeta con permisos
explícitos y exclusivos para el grupo Admin, y los usuarios pueden acceder, es
obvio que por algún sitio se les está concediendo privilegios
administrativos. Te
recomiendo revises nuevamente los grupos de pertenencia de los usuarios/as,
ya que como te decía en el post anterior, aunque a priori no lo creas, todos
los
indicios muestran que los usuarios tienen más "poderes" de los que debieran...

Ah! Te ruego me perdones, ya que casi se me olvida... La cuenta NETWORK no
es una cuenta especial. Se trata de una cuenta que aparece por defecto en el
sistema, mientras que la cuenta de NETWORK SERVICE es una cuenta que te
aparece en la solapa de seguridad una vez que el sistema se conecta a una red.

Como solución que se me ocurre para tu scenario, sólo se me ocurre que hagas
ajustes a los permisos SHARED de los directorios compartidos y establezcas
restricciones a nivel GPO de dominio para al menos, controlar las acciones de
los usuarios.
·
Los PC's me caen mal.
Los usuarios, peor todavía
Curiosamente, las usuarias no... ;-P
==Desiderio Ondo | Ing. en Informática.
Certificado ITIL | Certificado MCSE.


"Carlos" wrote:

´Gracias por contestar Desiderio, pero quizás no me he explicado bien
o el titulo daba lugar a confusión.
Lo que me pasó es que todos los usuarios podían entrar a todas las
carpetas de documentos como si fueran administradores, pero NO lo
eran.
Incluso creé una carpeta y di permisos solo para el grupo
administradores (quité incluso system y owner) y entraban.Pero ningun
usuario pertenecia al grupo administradores ni a ningún subgrupo
miembro de otro grupo, que acabara siendolo.
Es como si fueran administradores, pero solo a nivel de carpetas, nada
mas. No pidían iniciar sesion en el servidor, etc.

Al final si que era porque en el grupo administradores se habia colado
(ni idea de como) el grupo RED de NT authotity. Fue dificil de
detectar, porque no "refrescaba" automaticamente ni siquiera haciendo
un gpupdate. Si cambio algun otro permiso, los privilegios se
establecen automaticamente, pero si quito este grupo, los permisos
tardan unos 20 minutos en "darse cuenta".
Me falta saber para que sirve exactamente este grupo especial llamado
RED.

Un saludo.
.

Hola Carlos,

tengo el mismo problema... si miras mas arriba veras un post que pone
"Acceso restringido a carpetas"... y también tengo al usuario RED dentro de
Administradores. Lo borraré a ver qué pasa.

Gracias


"Desiderio Ondo." escribió en el
mensaje news:

Hola, Carlos:

No suele ser muy buena idea eliminar la cuenta SYSTEM de entre los
permisos
NTFS en directorios, ya que entonces restringes al propio SO para hacer
las
tareas que requiera en el mismo...

La cuenta RED en sistemas MS wNT es la predecesora de la actual NETWORK,
una cuenta cuya función en la vida es de facilitar un logon secundario "a
nivel
humano" para conexión a nodos de red. Generalmente, no suele tener
passwords
asociadas y no permite el inicio de sesión local. No hay que confundir
ésta
cuenta
con la de NETWORK SERVICE, cuyo propósito es de permitir conexiones a
nivel
de máquina con dispositivos en red, para entendernos.

Después de todo, la lógica es aplastante: si creas una carpeta con
permisos
explícitos y exclusivos para el grupo Admin, y los usuarios pueden
acceder, es
obvio que por algún sitio se les está concediendo privilegios
administrativos. Te
recomiendo revises nuevamente los grupos de pertenencia de los
usuarios/as,
ya que como te decía en el post anterior, aunque a priori no lo creas,
todos
los
indicios muestran que los usuarios tienen más "poderes" de los que
debieran...

Ah! Te ruego me perdones, ya que casi se me olvida... La cuenta NETWORK no
es una cuenta especial. Se trata de una cuenta que aparece por defecto en
el
sistema, mientras que la cuenta de NETWORK SERVICE es una cuenta que te
aparece en la solapa de seguridad una vez que el sistema se conecta a una
red.

Como solución que se me ocurre para tu scenario, sólo se me ocurre que
hagas
ajustes a los permisos SHARED de los directorios compartidos y establezcas
restricciones a nivel GPO de dominio para al menos, controlar las acciones
de
los usuarios.
·
Los PC's me caen mal.
Los usuarios, peor todavía
Curiosamente, las usuarias no... ;-P
==> Desiderio Ondo | Ing. en Informática.
Certificado ITIL | Certificado MCSE.


"Carlos" wrote:

´Gracias por contestar Desiderio, pero quizás no me he explicado bien
o el titulo daba lugar a confusión.
Lo que me pasó es que todos los usuarios podían entrar a todas las
carpetas de documentos como si fueran administradores, pero NO lo
eran.
Incluso creé una carpeta y di permisos solo para el grupo
administradores (quité incluso system y owner) y entraban.Pero ningun
usuario pertenecia al grupo administradores ni a ningún subgrupo
miembro de otro grupo, que acabara siendolo.
Es como si fueran administradores, pero solo a nivel de carpetas, nada
mas. No pidían iniciar sesion en el servidor, etc.

Al final si que era porque en el grupo administradores se habia colado
(ni idea de como) el grupo RED de NT authotity. Fue dificil de
detectar, porque no "refrescaba" automaticamente ni siquiera haciendo
un gpupdate. Si cambio algun otro permiso, los privilegios se
establecen automaticamente, pero si quito este grupo, los permisos
tardan unos 20 minutos en "darse cuenta".
Me falta saber para que sirve exactamente este grupo especial llamado
RED.

Un saludo.
.