Historia de grupos de seguridad de AD anidados y ConfigMgr

Ocurre todo el tiempo, los administradores deben responder la pregunta: "¿A qué grupos pertenece un usuario?" Normalmente, abres el Directorio activo de usuarios y computadoras (ADUC), busque el usuario en cuestión y busque en la Miembro de pestaña, ¿verdad? Sin embargo, ¿qué sucede si su organización ha anidado grupos de seguridad de AD? En este punto, ¿qué, quizás se pregunte, tiene esto que ver con Configuration Manager (ConfigMgr)? Bueno, la respuesta a esa pregunta es de qué trata esta historia.

Grupos de seguridad de AD anidados: AD

Estoy usando GartekMorgan para este ejemplo. Esta es la cuenta de usuario que utilizo para las pruebas y normalmente es una cuenta de usuario con pocos derechos. Sin embargo, para ayudar a explicar el problema, agregué temporalmente a Morgan al grupo de seguridad de administradores de dominio. Cuando reviso Active Directory (AD), veo que Morgan solo pertenece a dos grupos (vea la captura de pantalla anterior), "Administradores de dominio" y "Usuarios de dominio", ¿o no? Voy a tener que echar un vistazo a esto más de cerca.

Grupos de seguridad ConfigMgr y AD

Grupos de seguridad de AD anidados: métodos de descubrimiento

Cada administrador de ConfigMgr sabe que hay varios métodos de descubrimiento dentro de la consola. Para los propósitos de esta publicación de blog, estoy hablando de Descubrimiento de grupos de Active Directory, Descubrimiento del sistema de Active Directory y nuestra Descubrimiento de usuarios de Active Directory. Estos tres métodos de descubrimiento (tal como lo sugieren sus nombres) encuentran computadoras, usuarios y membresías de grupos dentro de AD. Lo que esto significa es que una vez que activa estos métodos de descubrimiento, puede averiguar quién pertenece a cualquier grupo de seguridad de AD mediante los informes ConfigMgr. ¡Si, eso es correcto!

Sin embargo, es posible que todavía se pregunte: "¿Qué tiene esto que ver con los grupos anidados y ConfigMgr?" Llegaré a eso en un minuto.

Sabía que cuando agregué temporalmente a Morgan al grupo de seguridad de administradores de dominio, debería parecer miembro de numerosos grupos. Ahora, ¿puede entender por qué necesitaba profundizar más para descubrir por qué ADUC solo mostró a Morgan como miembro de dos grupos de seguridad de AD? ¿Algo salió mal?

Grupos de seguridad de AD anidados y ConfigMgr

Grupos de seguridad de AD anidados: propiedades de administradores de dominio

Puedo aburrirlos con la historia paso a paso, pero ahora no es el momento. En cambio, esto es lo que el equipo Enhansoft y yo descubrimos. Si miras el Propiedades de administradores de dominio, verá que este grupo de seguridad de AD pertenece a 15 grupos de seguridad de AD adicionales. ¡No voy a enumerarlos todos aquí!

¿Por qué te importa?

La consola de ADUC solo mostró a Morgan como miembro de dos grupos de seguridad de AD porque no tiene en cuenta los grupos anidados al informar las membresías de los usuarios. ConfigMgr, por otro lado, ve que el grupo de seguridad de administradores de dominio es miembro de otros 15 grupos, por lo que informa correctamente que cada usuario que pertenece al grupo de seguridad de administradores de dominio también es miembro de esos mismos 15 grupos.

Sé que estoy simplificando demasiado el proceso. Lo más probable es que ConfigMgr esté revisando los tokens de seguridad, pero ese proceso tomaría demasiado tiempo para explicarlo en esta publicación de blog. Alguien también debería pedirle a un miembro del equipo de producto que revise el código para explicar completamente el proceso. Al final, como alguien que escribe informes, solo me importa el resultado final y no cómo necesariamente llegamos allí. ¡Al menos no esta vez!

Lista de grupos de seguridad para un usuario de AD

Durante todo el mes de abril de 2020 [esta oferta ya no está disponible], Enhansoft está regalando un informe llamado Lista de grupos de seguridad para un usuario de AD. Estamos haciendo esto para facilitar a los administradores la búsqueda de los grupos de seguridad de AD a los que pertenece un usuario.

En caso de que se lo pregunte, no solo creamos un informe y lo enviamos al mundo. Primero, nos aseguramos de que obtener información específica de ConfigMgr y en un informe sea un problema real (en este caso lo fue) y luego, una vez creado el informe, probamos, probamos y probamos. Los resultados siempre deben ser precisos. No hay margen de error.

Grupos de seguridad de AD anidados: lista de grupos de seguridad para un usuario de AD: Power BI

Grupos de seguridad de AD anidados: lista de grupos de seguridad para un usuario de AD: SSRS

¿Qué significa esto para ti? En términos simples, cuando aprovecha la Lista de grupos de seguridad para un usuario de AD informe o uno de los otros Enhansoft Administrador local informes, se incluyen grupos anidados, ¡para que obtenga una imagen completa! Esta es una gran ventaja para usted, ya que ya no necesita revisar la membresía de cada grupo de seguridad de AD. Cada grupo, para cada usuario, se enumera allí para usted. De manera similar, cuando observa la membresía de un grupo de seguridad de AD, no solo ve los grupos de seguridad anidados, sino que también ve los miembros de cada grupo anidado. Dígame, ¿su equipo de seguridad estaría contento con eso?

Si tiene alguna pregunta sobre los grupos de seguridad de AD anidados y ConfigMgr, no dude en ponerse en contacto conmigo @GarthMJ, o si desea adquirir este informe, comuníquese con nuestro equipo de ventas para más información.

Vea cómo Right Click Tools está cambiando la forma en que se administran los sistemas.

Aumente la productividad de inmediato con nuestra versión limitada y gratuita de la edición Community.

Comience con Right Click Tools hoy:

Compartir este:

Ayuda

  • Este campo es para fines de validación y no debe modificarse.

Contacto

  • Este campo es para fines de validación y no debe modificarse.
es_MXSpanish