En las dos notas anteriores vimos cómo configurar para permitir que un usuario normal pueda acceder por Remote Desktop (Escritorio Remoto) en modo administración a un Controlador de Dominio, y además cómo permitirle utilizar las herramientas administrativas
En esta ocasión veremos cómo podemos limitar qué herramientas puede utilizar, ya que el hecho de que pueda, aunque sólo sea ver información, es un problema de seguridad
Como había comentado en la nota anterior, supondré un caso como es: una persona de confianza que sólo debe poder acceder al “Event Viewer” (Visor de Sucesos)
Para llegar al objetivo, debemos crear y enlazar a la Unidad Organizativa donde está la cuenta de usuario una Directiva de Grupo (GPO) que limite qué aplicaciones podrá utilizar
Así que comenzaremos creando y enlazando una GPO a la Unidad Organizativa Soporte-OU
Yo la he llamdo “Restringir Consolas” pero no fue una buena elección, pues además de restringir las consolas (*.MSC) deberemos restringir algunos ejecutables (*.EXE), por ejemplo ServerManager.exe
Debemos editar: “User Configuration / Policies / Administrative Templates / Windows Components / Microsoft Management Console / Restrict user to the explicitly permitted list of snap-ins”
De esta forma, se impedirá el uso de cualquier consola, salvo las que explícitamente habilitemos
Y en “Restricted/Permitted snap-ins” habilitar la consola que deseamos permitir usar; en mi ejemplo el “Event Viewr” (Visor de sucesos)
Si deseamos que la opción valga para Windows Vista y anteriores, deberemos editar dos opciones (“Event Viewer” y “Event Viewre (Windows Vista)
En CL1, y como usuario “Soporte Uno” (S1) debemos forzar la aplicación de la nueva GPO
Y si nos conectamos a DC1 por Remote Desktop y tratamos de utilizar alguna herramienta administrativa, veremos que no podemos
La consola que sí, se podrá ejectuar es la específicamente permitida (“Event Viewer”)
Desde “Run”, ejecutamos EVENTVWR.MSC y vemos que funciona perfectamente
El problema que nos queda para resolver es que algunas herramientas administrativas, no son *.MSC, sino que son ejecutables *.EXE
Para saber bien no sólo el nombre de cada consola MSC, sino además cuáles son archivos ejecutables, podemos ingresar a las herramientas administrativas a través del Control Panel, y ver las propiedades de cada una
“Active Directory Users and Computers” es DSA.MSC
Pero “Server Manager”, “Administrative Center”, “System Configuration” y “System Information” son ejecutables EXE; y además PowerShell. Por lo cual no están limitadas como consolas MSC
Le dejo a cada uno la revisión individual, por mi parte a los efectos demostrativos limitaré sólo a Server Manager
Para esto, editaré nuevamente la GPO “Restringir Consolas” modificando “User Configuration / Policies / Administrative Templates / System / Don’t run specificed Windows applications”
Debemos habilitar la opción, y especificar cuáles aplicaciones deseamos impedir la ejecución
Forzamos al actualización de la GPO
Y podemos observar que ya no se puede ejecutar Server Manager
Resumiendo:
- En la primera nota hemos visto cómo podemos autorizar a un usuario normal para que pueda conectarse a un Controlador de Dominio con Remote Desktop en modo administración
- En la segunda parte hemos visto cómo permitirle la utilización de herramientas administrativas
- Y en esta tercera y última de la serie, hemos visto cómo podemos limitarlo y restringir qué consolas y ejecutable puede utilizar
Espero les sea útil 🙂