Anexo F: protección de grupos de administradores de dominio en Active Directory

  • Artículo

Se aplica a: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2 y Windows Server 2012.

Anexo F: protección de grupos de administradores de dominio en Active Directory

Como sucede con el grupo de administradores de empresa, la pertenencia a grupos de administradores de dominio solo debe ser necesaria en escenarios de compilación o recuperación ante desastres. No debe haber cuentas de usuario diarias en el grupo de administradores de dominio, con la excepción de la cuenta predefinida de administrador del dominio, si se ha protegido tal como se describe en el Anexo D: Protección de cuentas predefinidas de administrador en Active Directory.

Los administradores de dominio son, de manera predeterminada, miembros de los grupos de administradores locales en todos los servidores miembro y estaciones de trabajo de sus respectivos dominios. Este anidamiento predeterminado no se debe modificar por motivos de compatibilidad y de recuperación ante desastres. Si el grupo de administradores de dominio se ha quitado de los grupos de administradores locales de los servidores miembro, dicho grupo deberá agregarse al grupo de administradores en cada servidor miembro y estación de trabajo del dominio. El grupo de administradores de dominio de cada dominio debe protegerse como se describe en las siguientes instrucciones paso a paso.

En el grupo de administradores de dominio de cada dominio del bosque:

  1. Quite todos los miembros del grupo de administradores de dominio, con la posible excepción de la cuenta predefinida de administrador del dominio, si se ha protegido tal como se describe en el Anexo D: Protección de cuentas predefinidas de administrador en Active Directory.

  2. En los GPO vinculados a unidades organizativas que contienen servidores miembros y estaciones de trabajo de cada dominio, el grupo de administradores de dominio debe agregarse a los siguientes derechos de usuario en Configuración del equipo/Directivas/Configuración de Windows/Configuración de seguridad/Directivas locales/Asignaciones de derechos de usuario:

    • Denegar el acceso desde la red a este equipo

    • Denegación del inicio de sesión como trabajo por lotes

    • Denegar el inicio de sesión como servicio

    • Denegar el inicio de sesión localmente

    • Denegar inicio de sesión a través de Servicios de Escritorio remoto

  3. Se deben configurar funciones de auditoría para enviar alertas si se realizan modificaciones en las propiedades o la pertenencia del grupo de administradores de dominio.

Instrucciones paso a paso para quitar todos los miembros del grupo de administradores de dominio

  1. En Administrador del servidor, haga clic en Herramientas y haga clic en Usuarios y equipos de Active Directory.

  2. Haga lo siguiente para quitar todos los miembros del grupo de administradores de dominio:

    1. Haga doble clic en el grupo de Admins. del dominio y luego haga clic en la pestaña Miembros.

      Screenshot that shows the Members tab for removing all members from the Domain Admins Group.

    2. Seleccione un miembro del grupo, haga clic en Quitar, en y después en Aceptar.

  3. Repita el paso 2 hasta que se hayan quitado todos los miembros del grupo de administradores de dominio.

Instrucciones paso a paso para proteger a los administradores de dominio en Active Directory

  1. En Administrador del servidor, haga clic en Herramientas y, después, haga clic en Administración de directivas de grupo.

  2. En el árbol de consola, expanda <Bosque>\Dominios\<Dominio> y, después, Objetos de directivas de grupo (donde <Bosque> es el nombre del bosque y <Dominio> es el nombre del dominio donde quiere establecer la directiva de grupo).

  3. En el árbol de consola, haga clic con el botón derecho en Objetos de directivas de grupo y haga clic en Nuevo.

    Screenshot that shows where to select New so you can secure Domain Admins in Active Directory.

  4. En el cuadro de diálogo Nuevo GPO, escriba <Nombre del GPO> y haga clic en Aceptar (donde <Nombre del GPO> es el nombre de este GPO).

    Screenshot that shows where to name the GPO so you can secure Domain Admins in Active Directory.

  5. En el panel de detalles, haga clic con el botón derecho en <Nombre del GPO> y haga clic en Editar.

  6. Vaya a Configuración del equipo\Directivas\Configuración de Windows\Configuración de seguridad\Directivas locales y haga clic en Asignación de derechos de usuario.

    Screenshot that shows where to navigate so you can select User Rights Admin to secure Domain Admins in Active Directory.

  7. Haga lo siguiente para configurar los derechos de usuario de forma que los miembros del grupo de administradores de dominio no puedan acceder a servidores miembros y estaciones de trabajo a través de la red:

    1. Haga doble clic en Denegar el acceso a este equipo desde la red y seleccione Definir esta configuración de directiva.

    2. Haga clic en Agregar usuario o grupo y en Examinar.

    3. Escriba Administradores de dominio, haga clic en Comprobar nombres y luego en Aceptar.

      Screenshot that shows how to verify that you've configured the user rights to prevent members of the Domain Admins group from accessing members servers and workstations over the network.

    4. Haga clic en Aceptar y, después, de nuevo en Aceptar.

  8. Haga lo siguiente para configurar los derechos de usuario de forma que los miembros del grupo de administradores de dominio no puedan iniciar sesión como un trabajo por lotes:

    1. Haga doble clic en Denegar el inicio de sesión como trabajo por lotes y seleccione Definir esta configuración de directiva.

    2. Haga clic en Agregar usuario o grupo y en Examinar.

    3. Escriba Administradores de dominio, haga clic en Comprobar nombres y luego en Aceptar.

      Screenshot that shows how to verify that you've configured the user rights to prevent members of the DA group from logging on as a batch job.

    4. Haga clic en Aceptar y, después, de nuevo en Aceptar.

  9. Haga lo siguiente para configurar los derechos de usuario de forma que los miembros del grupo de administradores de dominio no puedan iniciar sesión como servicio:

    1. Haga doble clic en Denegar el inicio de sesión como servicio y seleccione Definir esta configuración de directiva.

    2. Haga clic en Agregar usuario o grupo y en Examinar.

    3. Escriba Administradores de dominio, haga clic en Comprobar nombres y luego en Aceptar.

      Screenshot that shows how to verify that you've configured the user rights to prevent members of the DA group from logging on as a service.

    4. Haga clic en Aceptar y, después, de nuevo en Aceptar.

  10. Haga lo siguiente para configurar los derechos de usuario de forma que los miembros del grupo de administradores de dominio no puedan iniciar sesión localmente en servidores miembros y estaciones de trabajo:

    1. Haga doble clic en Denegar el inicio de sesión localmente y seleccione Definir esta configuración de directiva.

    2. Haga clic en Agregar usuario o grupo y en Examinar.

    3. Escriba Administradores de dominio, haga clic en Comprobar nombres y luego en Aceptar.

      Screenshot that shows how to verify that you've configured the user rights to prevent members of the Domain Admins group from logging on locally to member servers and workstations.

    4. Haga clic en Aceptar y, después, de nuevo en Aceptar.

  11. Haga lo siguiente para configurar los derechos de usuario de forma que los miembros del grupo de administradores de dominio no puedan acceder a servidores miembros y estaciones de trabajo a través de Servicios de Escritorio Remoto:

    1. Haga doble clic en Denegar inicio de sesión a través de Servicios de Escritorio remoto y seleccione Definir esta configuración de directiva.

    2. Haga clic en Agregar usuario o grupo y en Examinar.

    3. Escriba Administradores de dominio, haga clic en Comprobar nombres y luego en Aceptar.

      Screenshot that shows how to verify that you've configured the user rights to prevent members of the Domain Admins group from accessing member servers and workstations via Remote Desktop Services

    4. Haga clic en Aceptar y, después, de nuevo en Aceptar.

  12. Para salir del Editor de administración de directivas de grupo, haga clic en Archivo y, después, en Salir.

  13. En Administración de directivas de grupo, vincule el GPO a las unidades organizativas de la estación de trabajo y el servidor miembro con los procedimientos siguientes:

    1. Vaya a <Bosque>\Dominios\<Dominio> (donde <Bosque> es el nombre del bosque y <Dominio> es el nombre del dominio en el que quiere establecer la directiva de grupo).

    2. Haga clic con el botón derecho en la unidad organizativa a la que se va a aplicar el GPO y haga clic en Vincular un GPO existente.

      Screenshot that shows the Link an existing GPO menu option when you right-click the OU that the GPO will be applied to.

    3. Seleccione la GPO que acaba de crear y haga clic en Aceptar.

      Screenshot that shows where to select the GPO you just created while you're linking the GPO to the member server.

    4. Cree vínculos al resto de unidades organizativas que contengan estaciones de trabajo.

    5. Cree vínculos a todas las demás UO que contengan servidores miembros.

      Importante

      Si los servidores de salto se usan para administrar controladores de dominio y Active Directory, asegúrese de que los servidores de salto se encuentran en una unidad organizativa a la que estos GPO no están vinculados.

Pasos de comprobación

Compruebe la configuración del GPO "Denegar el acceso a este equipo desde la red"

Desde cualquier estación de trabajo o servidor miembro que no se vean afectados por los cambios de la GPO (por ejemplo, un "servidor de salto"), intente acceder a una estación de trabajo o servidor miembro a través de la red afectada por los cambios de la GPO. Para comprobar la configuración del GPO, pruebe a asignar la unidad del sistema usando el comando NET USE.

  1. Inicie sesión localmente usando una cuenta miembro del grupo Admins. del dominio.

  2. Use el ratón para mover el puntero a la esquina superior derecha o inferior derecha de la pantalla. Cuando aparezca la barra Accesos, haga clic en Buscar.

  3. En el cuadro Buscar, escriba símbolo del sistema, haga clic con el botón derecho en Símbolo del sistema y, después, haga clic en Ejecutar como administrador para abrir un símbolo del sistema con privilegios elevados.

  4. Cuando se le pida que apruebe la elevación, haga clic en .

    Screenshot that shows where to approve the elevation while verifying the Deny access to this computer network GPO settings.

  5. En la ventana de Símbolo de sistema, escriba net use\\<Nombre del servidor>\c$, donde <Nombre del servidor> es el nombre de la estación de trabajo o servidor miembro al que está intentando acceder a través de la red.

  6. En la siguiente captura de pantalla se muestra el mensaje de error que debería aparecer.

    Screenshot that shows the error message that should appear while you're attempting to accsss the member server.

Comprobar la configuración de GPO "Denegar el inicio de sesión como trabajo por lotes"

Desde cualquier estación de trabajo o servidor miembro afectado por los cambios del GPO, inicie sesión localmente.

Creación de un archivo por lotes

  1. Use el mouse para mover el puntero a la esquina superior derecha o inferior derecha de la pantalla. Cuando aparezca la barra Accesos, haga clic en Buscar.

  2. En el cuadro Buscar, escriba bloc de notas y haga clic en Bloc de notas.

  3. En el Bloc de notas, escriba dir c:.

  4. Haga clic en Archivo y después en Guardar como.

  5. En el campo Nombre de archivo, escriba <Nombredearchivo>.bat (donde <Nombredearchivo> es el nombre del nuevo archivo por lotes).

Programación de una tarea

  1. Use el mouse para mover el puntero a la esquina superior derecha o inferior derecha de la pantalla. Cuando aparezca la barra Accesos, haga clic en Buscar.

  2. En el cuadro Buscar, escriba programador de tareas y haga clic enProgramador de tareas.

    Nota

    En los equipos con Windows 8, en el cuadro Buscar, escriba tareas de programación y haga clic en Programar tareas.

  3. En la barra de menús del Programador de tareas, haga clic en Acción y luego en Crear tarea.

  4. En el cuadro de diálogo Crear tarea, escriba <Nombre de la tarea> (donde <Nombre de la tarea> es el nombre de la nueva tarea).

  5. Haga clic en la pestaña Acciones y después, en Nueva.

  6. En el campo Acción, seleccione Iniciar un programa.

  7. En Programa/script, haga clic en Examinar, busque y seleccione el archivo por lotes creado en Crear un archivo por lotes y haga clic en Abrir.

  8. Haga clic en OK.

  9. Haga clic en la pestaña General.

  10. Entre las opciones de Seguridad, haga clic en Cambiar usuario o grupo.

  11. Escriba el nombre de una cuenta que sea miembro del grupo de administradores de dominio, haga clic en Comprobar nombres y luego en Aceptar.

  12. Seleccione Ejecutar tanto si el usuario inició sesión como si no y No almacenar la contraseña. La tarea solo tendrá acceso a los recursos del equipo local.

  13. Haga clic en OK.

  14. Debe aparecer un cuadro de diálogo en el que se soliciten las credenciales de la cuenta de usuario para ejecutar la tarea.

  15. Después de escribir las credenciales, haga clic en Aceptar.

  16. Debería aparecer un cuadro de diálogo similar al siguiente.

    Screenshot that shows the error that should occur after you enter the credentials.

Comprobar la configuración de GPO "Denegar el inicio de sesión como servicio"

  1. Desde cualquier estación de trabajo o servidor miembro afectado por los cambios del GPO, inicie sesión localmente.

  2. Use el mouse para mover el puntero a la esquina superior derecha o inferior derecha de la pantalla. Cuando aparezca la barra Accesos, haga clic en Buscar.

  3. En el cuadro Buscar, escriba servicios y haga clic en Servicios.

  4. Busque la opción Administrador de trabajos de impresión y haga doble clic en ella.

  5. Haga clic en la ficha Iniciar sesión.

  6. En Iniciar sesión como, seleccione la opción Esta cuenta.

  7. Haga clic en Examinar, escriba el nombre de una cuenta que sea miembro del grupo de administradores de dominio, haga clic en Comprobar nombres y luego en Aceptar.

  8. En Contraseña y Confirmar contraseña, escriba la contraseña de la cuenta seleccionada y haga clic en Aceptar.

  9. Haga clic en Aceptar tres veces más.

  10. Haga clic con el botón derecho en Administrador de trabajos de impresión y haga clic en Reiniciar.

  11. Cuando se reinicia el servicio, debería aparecer un cuadro de diálogo similar al siguiente.

    Screenshot that shows the dialog box that appears after the service is restarted.

Reversión de los cambios al servicio de Administrador de trabajos de impresión

  1. Desde cualquier estación de trabajo o servidor miembro afectado por los cambios del GPO, inicie sesión localmente.

  2. Use el mouse para mover el puntero a la esquina superior derecha o inferior derecha de la pantalla. Cuando aparezca la barra Accesos, haga clic en Buscar.

  3. En el cuadro Buscar, escriba servicios y haga clic en Servicios.

  4. Busque la opción Administrador de trabajos de impresión y haga doble clic en ella.

  5. Haga clic en la ficha Iniciar sesión.

  6. En Iniciar sesión como, seleccione la cuenta del Sistema local y haga clic en Aceptar.

Comprobación de la configuración de GPO "Denegar el inicio de sesión localmente"

  1. Desde cualquier estación de trabajo o servidor miembro afectado por los cambios del GPO, pruebe a iniciar sesión localmente con una cuenta que sea miembro del grupo de administradores de dominio. Debería abrirse un cuadro de diálogo similar al siguiente.

    secure domain admin groups

Comprobar la configuración de GPO "Denegar el inicio de sesión a través de Servicios de Escritorio remoto"

  1. Use el mouse para mover el puntero a la esquina superior derecha o inferior derecha de la pantalla. Cuando aparezca la barra Accesos, haga clic en Buscar.

  2. En el cuadro Buscar, escriba conexión a escritorio remoto y haga clic en Conexión a Escritorio remoto.

  3. En el campo Equipo, escriba el nombre del equipo al que quiera conectarse y haga clic en Conectar. (también puede escribir la dirección IP en lugar del nombre de equipo).

  4. Cuando se le pida, introduzca las credenciales de una cuenta que sea miembro del grupo de administradores de dominio.

  5. Debería abrirse un cuadro de diálogo similar al siguiente.

    Screenshot that shows the message that indicates the sign-in method you're using isn't allowed.