martes, 4 de junio de 2013

Como de seguro es tu Windows? Parte 3. Si no tienes memoria, usa una chuleta...

Como hemos visto en anteriores artículos, tenemos varias herramientas para hacernos más fácil la tarea de proporcionar seguridad a nuestros servidores WINDOWS 2012.
Ahora vamos a hablar de las famosas GPO, Group Policy Object. Vamos a mostrar algunos objetos de directiva de grupo susceptibles a ser configurados para nuestro propósito. Esto no quiere decir que sean los únicos, ni que tengas que habilitaros todos, pero seguro que te sirve de guía para adaptar tu configuración a tus necesidades. Te recomiendo acceder al detalle de cada uno de ellos (Link Microsoft) para profundizar en su cometido.


Ahora vamos a ver los grupos Built-in, los creados automáticamente al introducirnos en un ambiente de Active Directory, que propiedades tienen marcadas por defecto a nivel de directiva de grupo. EL ARTÍCULO CONTINUA DEBAJO DE LA LISTA.

Account or Group
Default Container, Group Scope and Type
Description and Default User Rights
Access Control Assistance Operators (Active Directory in Windows Server 2012)
Built-in container
Domain-local security group
Los miembros de este grupo pueden consultar remotamente atributos de autorización y permisos para los recursos en este equipo.
Derechos de los usuarios directos: Ninguno
Heredado derechos de usuario:
El acceso a este equipo desde la red
Agregar
estaciones de trabajo al dominio
Omitir comprobación de recorrido
Aumenta un proceso conjunto de trabajo
Account Operators
Built-in container
Domain-local security group
Los miembros pueden administrar de usuario de dominio y cuentas de grupo.
Derechos de los usuarios directos: Ninguno
Heredado derechos de usuario:
El acceso a este equipo desde la red
Agregar
estaciones de trabajo al dominio
Omitir comprobación de recorrido
Aumenta un proceso conjunto de trabajo
Administrator account
Users container
Not a group
Cuenta integrada para administrar el dominio.
Derechos de los usuarios directos: Ninguno
Heredado derechos de usuario:
El acceso a este equipo desde la red
Agregar
estaciones de trabajo al dominio
Ajustar las cuotas de memoria para un proceso
Permitir inicio de sesión local
Permitir inicio de sesión a través de Servicios de Escritorio remoto
Realice una copia de seguridad de archivos y directorios
Omitir comprobación de recorrido
Cambiar la hora del sistema
Cambiar la zona horaria
Crear un archivo de paginación
Crear objetos globales
Cree enlaces simbólicos
Depurar programas
Habilitar cuentas de usuario y de equipo de confianza para delegación
Forzar el apagado desde un sistema remoto
Suplantar a un cliente tras la autenticación
Aumenta
un proceso conjunto de trabajo
Aumentar la prioridad de programación
Cargar y descargar controladores de dispositivos
Inicie sesión como un trabajo por lotes
Administrar registro de auditoría y seguridad
Modificar valores de entorno del firmware
Realizar tareas de mantenimiento del volumen
Perfil de un solo proceso
El rendimiento del sistema
Quitar el equipo de la estación de acoplamiento
Restaurar archivos y directorios
Apague el sistema
Tomar posesión de archivos u otros objetos
Administrators group
Built-in container
Domain-local security group
Los administradores tienen acceso completo y sin restricciones al dominio.
Derechos de los usuarios directos:
El acceso a este equipo desde la red
Ajustar
las cuotas de memoria para un proceso
Permitir inicio de sesión local
Permitir inicio de sesión a través de Servicios de Escritorio remoto
Realice una copia de seguridad de archivos y directorios
Omitir comprobación de recorrido
Cambiar la hora del sistema
Cambiar la zona horaria
Crear un archivo de paginación
Crear objetos globales
Cree enlaces simbólicos
Depurar programas
Habilitar cuentas de usuario y de equipo de confianza para delegación
Forzar el apagado desde un sistema remoto
Suplantar a un cliente tras la autenticación
Aumentar
la prioridad de programación
Cargar y descargar controladores de dispositivos
Inicie sesión como un trabajo por lotes
Administrar registro de auditoría y seguridad
Modificar valores de entorno del firmware
Realizar tareas de mantenimiento del volumen
Perfil de un solo proceso
El rendimiento del sistema
Quitar el equipo de la estación de acoplamiento
Restaurar archivos y directorios
Apague el sistema
Tomar posesión de archivos u otros objetos
Heredado derechos de usuario:
El acceso a este equipo desde la red
Agregar
estaciones de trabajo al dominio
Omitir comprobación de recorrido
Aumenta un proceso conjunto de trabajo
Allowed RODC Password Replication Group
Users container
Domain-local security group
Los miembros de este grupo pueden tener sus contraseñas replican en todos los de sólo lectura controladores de dominio del dominio.
Derechos de los usuarios directos: Ninguno
Heredado derechos de usuario:
El acceso a este equipo desde la red
Agregar
estaciones de trabajo al dominio
Omitir comprobación de recorrido
Aumenta un proceso conjunto de trabajo
Backup Operators
Built-in container
Domain-local security group
Operadores de copia de seguridad pueden anular las restricciones de seguridad con el único propósito de hacer copias de seguridad o restaurar archivos.
Derechos de los usuarios directos:
Permitir inicio de sesión local
Realice una copia de seguridad de archivos y directorios
Inicie sesión como un trabajo por lotes
Restaurar archivos y directorios
Apague el sistema
Heredado derechos de usuario:
El acceso a este equipo desde la red
Agregar
estaciones de trabajo al dominio
Omitir comprobación de recorrido
Aumenta un proceso conjunto de trabajo

Cert Publishers
Users container
Domain-local security group
Los miembros de este grupo se les permite publicar certificados en el directorio.
Derechos de los usuarios directos: Ninguno
Heredado derechos de usuario:
El acceso a este equipo desde la red
Agregar
estaciones de trabajo al dominio
Omitir comprobación de recorrido
Aumenta un proceso conjunto de trabajo
Certificate Service DCOM Access
Built-in container
Domain-local security group
Si Servicios de Certificate Server está instalado en un controlador de dominio (no recomendado), este grupo de subvenciones DCOM Inscripción acceso a usuarios del dominio y Equipos del dominio.
Derechos de los usuarios directos: Ninguno
Heredado derechos de usuario:
El acceso a este equipo desde la red
Agregar
estaciones de trabajo al dominio
Omitir comprobación de recorrido
Aumenta un proceso conjunto de trabajo
Cloneable Domain Controllers (AD DS in Windows Server 2012AD DS)
Users container
Global security group
Los miembros de este grupo que son controladores de dominio pueden ser clonados.
Derechos de los usuarios directos: Ninguno
Heredado derechos de usuario:
El acceso a este equipo desde la red
Agregar
estaciones de trabajo al dominio
Omitir comprobación de recorrido
Aumenta un proceso conjunto de trabajo
Cryptographic Operators
Built-in container
Domain-local security group
Los miembros están autorizados para realizar operaciones criptográficas.
Derechos de los usuarios directos: Ninguno
Heredado derechos de usuario:
El acceso a este equipo desde la red
Agregar
estaciones de trabajo al dominio
Omitir comprobación de recorrido
Aumenta un proceso conjunto de trabajo
Debugger Users
This is neither a default nor a built-in group, but when present in AD DS, is cause for further investigation.
La presencia de un grupo de usuarios del depurador indica que las herramientas de depuración se han instalado en el sistema en algún momento, ya sea a través de Visual Studio, SQL, Office u otras aplicaciones que requieran y apoyar un entorno de depuración. Este grupo permite el acceso remoto a equipos de depuración. Cuando este grupo existe en el nivel de dominio, indica que un depurador o una aplicación que contiene un depurador se ha instalado en un controlador de dominio.
Denied RODC Password Replication Group
Users container
Domain-local security group
Los miembros de este grupo no pueden tener sus contraseñas replicar en cualquier de sólo lectura controladores de dominio del dominio.
Derechos de los usuarios directos: Ninguno
Heredado derechos de usuario:
El acceso a este equipo desde la red
Agregar
estaciones de trabajo al dominio
Omitir comprobación de recorrido
Aumenta un proceso conjunto de trabajo
DHCP Administrators
Users container
Domain-local security group
Los miembros de este grupo tienen acceso administrativo al servicio DHCP Server.
Derechos de los usuarios directos: Ninguno
Heredado derechos de usuario:
El acceso a este equipo desde la red
Agregar
estaciones de trabajo al dominio
Omitir comprobación de recorrido
Aumenta un proceso conjunto de trabajo
DHCP Users
Users container
Domain-local security group
Los miembros de este grupo tienen acceso de sólo lectura para el servicio DHCP Server.
Derechos de los usuarios directos: Ninguno
Heredado derechos de usuario:
El acceso a este equipo desde la red
Agregar
estaciones de trabajo al dominio
Omitir comprobación de recorrido
Aumenta un proceso conjunto de trabajo
Distributed COM Users
Built-in container
Domain-local security group
Los miembros de este grupo pueden iniciar, activar y usar objetos COM distribuido en este equipo.
Derechos de los usuarios directos: Ninguno
Heredado derechos de usuario:
El acceso a este equipo desde la red
Agregar
estaciones de trabajo al dominio
Omitir comprobación de recorrido
Aumenta un proceso conjunto de trabajo
DnsAdmins
Users container
Domain-local security group
Los miembros de este grupo tienen acceso administrativo al servicio del servidor DNS.
Derechos de los usuarios directos: Ninguno
Heredado derechos de usuario:
El acceso a este equipo desde la red
Agregar
estaciones de trabajo al dominio
Omitir comprobación de recorrido
Aumenta un proceso conjunto de trabajo
DnsUpdateProxy
Users container
Global security group
Los miembros de este grupo son los clientes DNS que se les permite realizar actualizaciones dinámicas en nombre de los clientes que no pueden a su vez llevar a cabo las actualizaciones dinámicas. Los miembros de este grupo suelen ser servidores DHCP.
Derechos de los usuarios directos: Ninguno
Heredado derechos de usuario:
El acceso a este equipo desde la red
Agregar
estaciones de trabajo al dominio
Omitir comprobación de recorrido
Aumenta un proceso conjunto de trabajo
Domain Admins
Users container
Global security group
Administradores designados del dominio; Administradores de dominio es un miembro de cada dominio unido al grupo de administradores locales del equipo y recibe los derechos y permisos concedidos al grupo de administradores locales, además de grupo de administradores del dominio.
Derechos de los usuarios directos: Ninguno
Heredado derechos de usuario:
El acceso a este equipo desde la red
Agregar
estaciones de trabajo al dominio
Ajustar las cuotas de memoria para un proceso
Permitir inicio de sesión local
Permitir inicio de sesión a través de Servicios de Escritorio remoto
Realice una copia de seguridad de archivos y directorios
Omitir comprobación de recorrido
Cambiar la hora del sistema
Cambiar la zona horaria
Crear un archivo de paginación
Crear objetos globales
Cree enlaces simbólicos
Depurar programas
Habilitar cuentas de usuario y de equipo de confianza para delegación
Forzar el apagado desde un sistema remoto
Suplantar a un cliente tras la autenticación
Aumenta
un proceso conjunto de trabajo
Aumentar la prioridad de programación
Cargar y descargar controladores de dispositivos
Inicie sesión como un trabajo por lotes
Administrar registro de auditoría y seguridad
Modificar valores de entorno del firmware
Realizar tareas de mantenimiento del volumen
Perfil de un solo proceso
El rendimiento del sistema
Quitar el equipo de la estación de acoplamiento
Restaurar archivos y directorios
Apague el sistema
Tomar posesión de archivos u otros objetos
Domain Computers
Users container
Global security group
Todas las estaciones de trabajo y servidores que se unen al dominio son los miembros de este grupo por defecto.
Por defecto derechos de usuario directos: Ninguno
Heredado derechos de usuario:
El acceso a este equipo desde la red
Agregar
estaciones de trabajo al dominio
Omitir comprobación de recorrido
Aumenta un proceso conjunto de trabajo
Domain Controllers
Users container
Global security group
Todos los controladores de dominio del dominio. Nota: Los controladores de dominio no es miembro del grupo Equipos del dominio.
Derechos de los usuarios directos: Ninguno
Heredado derechos de usuario:
El acceso a este equipo desde la red
Agregar
estaciones de trabajo al dominio
Omitir comprobación de recorrido
Aumenta un proceso conjunto de trabajo
Domain Guests
Users container
Global security group
Todos los huéspedes en el dominio
Derechos de los usuarios directos: Ninguno
Heredado derechos de usuario:
El acceso a este equipo desde la red
Agregar
estaciones de trabajo al dominio
Omitir comprobación de recorrido
Aumenta un proceso conjunto de trabajo
Domain Users
Users container
Global security group
Todos los usuarios en el dominio
Derechos de los usuarios directos: Ninguno
Heredado derechos de usuario:
El acceso a este equipo desde la red
Agregar
estaciones de trabajo al dominio
Omitir comprobación de recorrido
Aumenta un proceso conjunto de trabajo
Enterprise Admins (exists only in forest root domain)
Users container
Universal security group
Administradores de organización tienen permisos para cambiar los valores de configuración de todo el bosque, Administradores de organización es miembro del grupo de administradores de cada dominio y recibe los derechos y permisos concedidos a ese grupo.
Derechos de los usuarios directos: Ninguno
Heredado derechos de usuario:
El acceso a este equipo desde la red
Agregar
estaciones de trabajo al dominio
Ajustar las cuotas de memoria para un proceso
Permitir inicio de sesión local
Permitir inicio de sesión a través de Servicios de Escritorio remoto
Realice una copia de seguridad de archivos y directorios
Omitir comprobación de recorrido
Cambiar la hora del sistema
Cambiar la zona horaria
Crear un archivo de paginación
Crear objetos globales
Cree enlaces simbólicos
Depurar programas
Habilitar cuentas de usuario y de equipo de confianza para delegación
Forzar el apagado desde un sistema remoto
Suplantar a un cliente tras la autenticación
Aumenta
un proceso conjunto de trabajo
Aumentar la prioridad de programación
Cargar y descargar controladores de dispositivos
Inicie sesión como un trabajo por lotes
Administrar registro de auditoría y seguridad
Modificar valores de entorno del firmware
Realizar tareas de mantenimiento del volumen
Perfil de un solo proceso
El rendimiento del sistema
Quitar el equipo de la estación de acoplamiento
Restaurar archivos y directorios
Apague el sistema
Tomar posesión de archivos u otros objetos
Enterprise Read-only Domain Controllers
Users container
Universal security group
Este grupo contiene las cuentas de todos de sólo lectura controladores de dominio del bosque.
Derechos de los usuarios directos: Ninguno
Heredado derechos de usuario:
El acceso a este equipo desde la red
Agregar
estaciones de trabajo al dominio
Omitir comprobación de recorrido
Aumenta un proceso conjunto de trabajo
Event Log Readers
Built-in container
Domain-local security group
Los miembros de este grupo pueden leer en los registros de sucesos en los controladores de dominio.
Derechos de los usuarios directos: Ninguno
Heredado derechos de usuario:
El acceso a este equipo desde la red
Agregar
estaciones de trabajo al dominio
Omitir comprobación de recorrido
Aumenta un proceso conjunto de trabajo
Group Policy Creator Owners
Users container
Global security group
Los miembros de este grupo pueden crear y modificar objetos de directiva de grupo en el dominio.
Derechos de los usuarios directos: Ninguno
Heredado derechos de usuario:
El acceso a este equipo desde la red
Agregar
estaciones de trabajo al dominio
Omitir comprobación de recorrido
Aumenta un proceso conjunto de trabajo
Guest
Users container
Not a group
Esta es la única cuenta en un dominio de AD DS que no tienen los usuarios autenticados SID añadido a su token de acceso. Por lo tanto, todos los recursos que están configurados para permitir el acceso al grupo Usuarios autenticados no se podrá acceder a esta cuenta. Este comportamiento no es el caso de los miembros de los Invitados de dominio y grupos invitados, sin embargo, son miembros de esos grupos tienen el usuarios autenticados SID añadido a sus tokens de acceso.
Derechos de los usuarios directos: Ninguno
Heredado derechos de usuario:
El acceso a este equipo desde la red
Omitir
comprobación de recorrido
Aumenta un proceso conjunto de trabajo
Guests
Built-in container
Domain-local security group
Los huéspedes tienen el mismo acceso que los miembros del grupo de usuarios de forma predeterminada, a excepción de la cuenta de invitado, que se limita aún más como se ha descrito anteriormente.
Derechos de los usuarios directos: Ninguno
Heredado derechos de usuario:
El acceso a este equipo desde la red
Agregar
estaciones de trabajo al dominio
Omitir comprobación de recorrido
Aumenta un proceso conjunto de trabajo
Hyper-V Administrators (Windows Server 2012)
Built-in container
Domain-local security group
Los miembros de este grupo tienen acceso completo y sin restricciones a todas las características de Hyper-V.
Derechos de los usuarios directos: Ninguno
Heredado derechos de usuario:
El acceso a este equipo desde la red
Agregar
estaciones de trabajo al dominio
Omitir comprobación de recorrido
Aumenta un proceso conjunto de trabajo

IIS_IUSRS
Built-in container
Domain-local security group
Incorporado en el grupo que utiliza Internet Information Services.
Derechos de los usuarios directos: Ninguno
Heredado derechos de usuario:
El acceso a este equipo desde la red
Agregar
estaciones de trabajo al dominio
Omitir comprobación de recorrido
Aumenta un proceso conjunto de trabajo
Incoming Forest Trust Builders (exists only in forest root domain)
Built-in container
Domain-local security group
Los miembros de este grupo pueden crear entrantes unidireccionales a este bosque. (Creación de confianzas de bosque de salida está reservada para Administradores de empresa.)
Derechos de los usuarios directos: Ninguno
Heredado derechos de usuario:
El acceso a este equipo desde la red
Agregar
estaciones de trabajo al dominio
Omitir comprobación de recorrido
Aumenta un proceso conjunto de trabajo
Krbtgt
Users container
Not a group
La cuenta krbtgt es la cuenta de servicio del Centro de distribución de claves Kerberos en el dominio. Esta cuenta tiene acceso a las credenciales de todas las cuentas "almacenados en Active Directory. Esta cuenta está desactivada por defecto y nunca debe estar habilitado
Derechos del usuario: N / A
Network Configuration Operators
Built-in container
Domain-local security group
Los miembros de este grupo se otorgan privilegios que les permitan gestionar la configuración de las funciones de red.
Derechos de los usuarios directos: Ninguno
Heredado derechos de usuario:
El acceso a este equipo desde la red
Agregar
estaciones de trabajo al dominio
Omitir comprobación de recorrido
Aumenta un proceso conjunto de trabajo

Performance Log Users
Built-in container
Domain-local security group
Los miembros de este grupo pueden programar el registro de contadores de rendimiento, permitirá a los proveedores de seguimiento y recopilar seguimientos de eventos a nivel local como a través de acceso remoto al ordenador.
Derechos de los usuarios directos:
Inicie sesión como un trabajo por lotes
Heredado derechos de usuario:
El acceso a este equipo desde la red
Agregar
estaciones de trabajo al dominio
Omitir comprobación de recorrido
Aumenta un proceso conjunto de trabajo
Performance Monitor Users
Built-in container
Domain-local security group
Los miembros de este grupo pueden acceder a los datos del contador de rendimiento a nivel local como a distancia.
Derechos de los usuarios directos: Ninguno
Heredado derechos de usuario:
El acceso a este equipo desde la red
Agregar
estaciones de trabajo al dominio
Omitir comprobación de recorrido
Aumenta un proceso conjunto de trabajo
Pre-Windows 2000 Compatible Access
Built-in container
Domain-local security group
Este grupo existe para la compatibilidad con sistemas operativos anteriores a Windows 2000 Server, que proporciona la capacidad de los miembros para leer la información de usuario y de grupo en el dominio.
Derechos de los usuarios directos:
El acceso a este equipo desde la red
Omitir
comprobación de recorrido
Heredado derechos de usuario:
Agregar estaciones de trabajo al dominio
Aumenta un proceso conjunto de trabajo
Print Operators
Built-in container
Domain-local security group
Los miembros de este grupo pueden administrar las impresoras de dominio.
Derechos de los usuarios directos:
Permitir inicio de sesión local
Cargar y descargar controladores de dispositivos
Apague el sistema
Heredado derechos de usuario:
El acceso a este equipo desde la red
Agregar
estaciones de trabajo al dominio
Omitir comprobación de recorrido
Aumenta un proceso conjunto de trabajo
RAS and IAS Servers
Users container
Domain-local security group
Los servidores de este grupo pueden leer las propiedades de acceso remoto en las cuentas de usuario en el dominio.
Derechos de los usuarios directos: Ninguno
Heredado derechos de usuario:
El acceso a este equipo desde la red
Agregar
estaciones de trabajo al dominio
Omitir comprobación de recorrido
Aumenta un proceso conjunto de trabajo
RDS Endpoint Servers (Windows Server 2012)
Built-in container
Domain-local security group
Los servidores de este grupo ejecutan máquinas virtuales y sesiones de acogida donde los usuarios de programas de RemoteApp y escritorios virtuales personales corren. Este grupo necesita ser poblado en servidores que ejecutan Agente de conexión. Servidores host de sesión de Escritorio remoto y servidores host de virtualización de Escritorio remoto utilizados en la implementación deben estar en este grupo.
Derechos de los usuarios directos: Ninguno
Heredado derechos de usuario:
El acceso a este equipo desde la red
Agregar
estaciones de trabajo al dominio
Omitir comprobación de recorrido
Aumenta un proceso conjunto de trabajo
RDS Management Servers (Windows Server 2012)
Built-in container
Domain-local security group
Los servidores de este grupo pueden realizar acciones administrativas de rutina en los servidores de Servicios de Escritorio remoto en ejecución. Este grupo necesita ser poblado en todos los servidores en una implementación de Servicios de Escritorio remoto. Los servidores que ejecutan el servicio de administración central RDS deben incluirse en este grupo.
Derechos de los usuarios directos: Ninguno
Heredado derechos de usuario:
El acceso a este equipo desde la red
Agregar
estaciones de trabajo al dominio
Omitir comprobación de recorrido
Aumenta un proceso conjunto de trabajo
RDS Remote Access Servers (Windows Server 2012)
Built-in container
Domain-local security group
Los servidores de este grupo permiten a los usuarios de los programas de RemoteApp y escritorios virtuales personales, el acceso a estos recursos. En Internet orientada al despliegue, estos servidores se despliegan típicamente en una red EDGE. Este grupo necesita ser poblado en servidores que ejecutan Agente de conexión. Servidores de puerta de enlace de Escritorio remoto y servidores de acceso web de Escritorio remoto utilizados en el despliegue necesidad de estar en este grupo.
Derechos de los usuarios directos: Ninguno
Heredado derechos de usuario:
El acceso a este equipo desde la red
Agregar
estaciones de trabajo al dominio
Omitir comprobación de recorrido
Aumenta un proceso conjunto de trabajo
Read-only Domain Controllers
Users container
Global security group
Este grupo contiene todos los de sólo lectura controladores de dominio del dominio.
Derechos de los usuarios directos: Ninguno
Heredado derechos de usuario:
El acceso a este equipo desde la red
Agregar
estaciones de trabajo al dominio
Omitir comprobación de recorrido
Aumenta un proceso conjunto de trabajo
Remote Desktop Services Users
Built-in container
Domain-local security group
Los miembros de este grupo se les concede el derecho de iniciar sesión de forma remota utilizando RDP.
Derechos de los usuarios directos: Ninguno
Heredado derechos de usuario:
El acceso a este equipo desde la red
Agregar
estaciones de trabajo al dominio
Omitir comprobación de recorrido
Aumenta un proceso conjunto de trabajo
Remote Management Servers (Windows Server 2012)
Built-in container
Domain-local security group
Los miembros de este grupo pueden acceder a los recursos de WMI a través de protocolos de gestión (como WS-Management a través del servicio Windows Remote Management). Esto se aplica sólo a los espacios de nombres WMI que conceden acceso al usuario.
Derechos de los usuarios directos: Ninguno
Heredado derechos de usuario:
El acceso a este equipo desde la red
Agregar
estaciones de trabajo al dominio
Omitir comprobación de recorrido
Aumenta un proceso conjunto de trabajo
Replicator
Built-in container
Domain-local security group
Admite la replicación de archivos heredado en un dominio.
Derechos de los usuarios directos: Ninguno
Heredado derechos de usuario:
El acceso a este equipo desde la red
Agregar
estaciones de trabajo al dominio
Omitir comprobación de recorrido
Aumenta un proceso conjunto de trabajo
Schema Admins (exists only in forest root domain)
Users container
Universal security group
Administradores de esquema son los únicos usuarios que pueden hacer modificaciones en el esquema de Active Directory, y sólo si el esquema está habilitada para escritura.
Derechos de los usuarios directos: Ninguno
Heredado derechos de usuario:
El acceso a este equipo desde la red
Agregar
estaciones de trabajo al dominio
Omitir comprobación de recorrido
Aumenta un proceso conjunto de trabajo
Server Operators
Built-in container
Domain-local security group
Los miembros de este grupo pueden administrar los servidores de dominio.
Derechos de los usuarios directos:
Permitir inicio de sesión local
Realice una copia de seguridad de archivos y directorios
Cambiar la hora del sistema
Cambiar la zona horaria
Forzar el apagado desde un sistema remoto
Restaurar archivos y directorios
Apague el sistema
Heredado derechos de usuario:
El acceso a este equipo desde la red
Agregar
estaciones de trabajo al dominio
Omitir comprobación de recorrido
Aumenta un proceso conjunto de trabajo
Terminal Server License Servers
Built-in container
Domain-local security group
Los miembros de este grupo pueden actualizar las cuentas de usuario en Active Directory con información sobre la emisión de licencias, con el fin de rastrear y reportar TS CAL por usuario de uso
Por defecto derechos de usuario directos: Ninguno
Heredado derechos de usuario:
El acceso a este equipo desde la red
Agregar
estaciones de trabajo al dominio
Omitir comprobación de recorrido
Aumenta un proceso conjunto de trabajo
Users
Built-in container
Domain-local security group
Los usuarios tienen permisos que les permiten leer muchos objetos y atributos en Active Directory, si bien no pueden cambiar la mayoría. Los usuarios no pueden realizar cambios accidentales o intencionados en todo el sistema y se puede ejecutar la mayoría de aplicaciones.
Derechos de los usuarios directos:
Aumenta un proceso conjunto de trabajo
Heredado derechos de usuario:
El acceso a este equipo desde la red
Agregar
estaciones de trabajo al dominio
Omitir comprobación de recorrido
Windows Authorization Access Group
Built-in container
Domain-local security group
Los miembros de este grupo tienen acceso al atributo tokenGroupsGlobalAndUniversal calculada sobre los objetos de los usuarios
Derechos de los usuarios directos: Ninguno
Heredado derechos de usuario:
El acceso a este equipo desde la red
Agregar
estaciones de trabajo al dominio
Omitir comprobación de recorrido
Aumenta un proceso conjunto de trabajo
WinRMRemoteWMIUsers_ (Windows Server 2012)
Users container
Domain-local security group
Los miembros de este grupo pueden acceder a los recursos de WMI a través de protocolos de gestión (como WS-Management a través del servicio Windows Remote Management). Esto se aplica sólo a los espacios de nombres WMI que conceden acceso al usuario.
Derechos de los usuarios directos: Ninguno
Heredado derechos de usuario:
El acceso a este equipo desde la red
Agregar
estaciones de trabajo al dominio
Omitir comprobación de recorrido
Aumenta un proceso conjunto de trabajo

Una de las características de la pertenencia a estos grupos protegidos por defecto por el sistema operativo es que pueden ser modificadas, ya que al poseer el permiso de poder modificar el propietario del objeto, pueden aplicarse los permisos que quieran. Existe un proceso continuo por parte de Active Directory encargado de garantizar la correcta aplicación de los permisos de los grupos protegidos, revocando cualquier cambio auto-configurado por algún miembro de estos grupos.
Este proceso, llamado SDProp almacena los permisos "tipo" descritos a continuación para las cuentas protegidas del sistemas, dentro de Active Directory como un objeto, denominado ADMINSDHolder.
SDProp lo que hace es comparar los permisos de las cuentas pertenecientes a los grupos restringidos, con la definición de estos permisos ubicada en AdminSdHolder, cada 60 minutos. Lo realiza contra el servicio de emulación PDC (PDC Emulator) En caso de que algún usuario perteneciente a uno de estos grupos haya cambiado algún permiso de su configuración de usuario, el proceso SDProp volverá a dejar al usuario con los permisos definidos en ADMINSDHolder.
SDProp también es encargado de replicar la información de los SID entre controladores de dominio.
Imaginamos un caso hipotético. Tenemos una UO (usuarios de Madrid)en la cual hemos delegado, como administradores del dominio, en un usuario. Imaginamos que por cualquier motivo, se mueve el usuario administrador del dominio a esa UO (porque se mueve de Murcia a Madrid) El usuario creado para administrar la UO podría cambiar la clave del usuario Administrador del dominio, por herencia? SDProp mitiga estos casos.
Para cambiar el parámetro de tiempo de búsqueda de "sintonía" entre los permisos debemos entrar en HKLM\SYSTEM\CurrentControlSet\Services\NTDS\Parameters. y modificar la clave, en segundos, the AdminSDProtectFrequency.
Cambiar este valor a un intervalo menor de búsqueda va a garantizar mayor coherencia a los permisos de nuestras cuentas dentro de grupos privilegiados, pero irá en detrimento del rendimiento de la red por las constantes búsquedas y cambios.
Para forzar la comprobación de los permisos de ADMINSDHolder -- Usuarios podemos entrar en el editor ldap LDP.exe. Conectamos con el servidor que tiene instalado el ROLE FSMO de PDC Emulator. Una vez conectados pulsamos en conexión, y enlazar.



Podemos proporcionar un usuario con permisos sobre el dominio, administrador de dominio o indicarle que tome las credenciales del usuario logueado, más cómodo.
Pulsamos sobre modificar y escribimos lo siguiente.

En ambientes 2008 anteriores a r2 podemos  ejecutarlo de la misma manera, configurando este parámetro.



PERMISOS SOBRE EL LA CUENTA ADMINISTRADOR.

Es curioso, pero lo primero que vamos a hacer es deshabilitarla, y trabajar con otro usuario "parecido". No obstante, para evitar futuros usos indebidos vamos a configurar una seria de parámetros.
Cambiar el nombre de esta cuenta proporciona un nivel de seguridad extra. Puede ser interesante crear un usuario administrador, después de haber cambiado el nombre de la cuenta real administrador ( hablamos de que LDAP trabaja son SID únicos, no importa el nombre o Nick) sin ningún permiso, y una auditoria con notificación por correo para saber si alguien ha intentado acceder a algún recurso con esa cuenta. Claro ejemplo de que estamos siendo atacados. Otros objetos de directiva de grupo que deberíamos cambiar sobre Administrador son:

Configuración del equipo \ Directivas \ Configuración de Windows \ Configuración de seguridad \ Configuración local \ Asignación de derechos de usuario:
 Denegar el acceso a este equipo desde la red
 Denegar
inicio de sesión como un trabajo por lotes
 Denegar inicio de sesión como servicio
 Denegar inicio de sesión a través de Servicios de Escritorio remoto


Atención a la hora de establecer estos objetos, ya que se aplicarán al contenedor o UO sobre el que apliquemos la directiva, pero debemos especificar si administrador es LOCAL, o es midominio\administrador. Importante esta distinción.

De momento os dejo repasar todo lo aprendido en este artículo y seguiremos en próximas entregas con la seguridad, esta vez en entornos Windows no solo servidores.

Como siempre, gracias por leerme.