Ocultando el contenido de una Unidad Organizational en Active Directory

Por: Sergio Furgiuele / Technical Reviewer: Diana Hernandez

Estuve trabajando un caso de soporte en el cual el cliente tenía varias cuentas de servicio en una OU en particular y su necesitad de ocultar estas cuentas de otros usuarios autenticados lo llevó a remover el permiso de List Contents de la OU al grupo Authenticated Users.

Esta acción efectivamente ocultaba los objetos en la OU para que otros usuarios autenticados no los vean, pero también causaba un problema.

Cuando cualquier usuario dentro de esa OU iniciaba sesión por Remote Desktop en un equipo del dominio y luego desconectaba la sesión, se presentaba un error 1053.

clip_image002

Este error nos indicaba que no podía procesar la o las GPO que debían aplicar sobre este usuario.

En este caso en particular no había una necesidad basada en que el usuario requería aplicar las políticas, sino que System Center Operations Manager presentaba alertas de eventos 1053 constantemente en diferentes servidores y era muy dificil prevenir todos estos eventos.

Con este procedimiento entonces lograremos

  • Ocultar usuarios: el usuario solo podrá verse a sí mismo utilizando un query de LDAP a la OU donde está el y los otros usuarios ubicados. Podrá ver a los otros usuarios dependiendo estrictamente en los permisos que tenga en la OU, por ejemplo administradores del dominio.
  • Evitar los eventos 1053 en el equipo donde el usuario inicia sesión logrando además que las políticas se apliquen

Procedimiento
En este procedimiento vamos a reproducir el problema y configurar correctamente el ambiente para ocultar los objetos.

clip_image004

Con una cuenta con los privilegios necesarios, creamos una OU llamada Test y también creamos el usuario test1 y test2. Ambos con permisos y membresías por defecto.

clip_image006

Verificamos los permisos de la OU. Authenticated Users tiene permiso de List Contents.

clip_image008

Si iniciamos sesión en un equipo del dominio con el usuario test1, podemos ver en Active Directory Users and Computers a los usuarios de la OU

clip_image010

Lo primero que debemos hacer es sacar la herencia sobre la OU. Lo hacemos porque hay grupos más arriba en la jerarquía que permiten que Authenticated Users sigan viendo el contenido incluso si sacáramos el permiso de List Contents.

clip_image012

Hacemos Clcik en Remove

clip_image014

Una vez sacada la herencia, le sacamos List Contents a Authenticated Users

clip_image016

Sin iniciar sesión nuevamente, hacemos un refresh en Active Directory Users and Computers en el equipo cliente y dejamos de ver los usuarios.

clip_image018

Sin embargo, si cerramos sesión, la iniciamos otra vez y desconectamos de la sesión de Remote Desktop, veremos el evento 1053 generarse.

Este problema ocurre porque cuando sacamos List Contents al mismo tiempo estamos sacando un permiso que se llama List Object el cual está oculto por defecto.
Esto provoca que el usuario no pueda verse a sí mismo a la hora de procesar la política.

Lo que tenemos que hacer entonces es habilitar el poder ver este permiso para que cuando saquemos List Contents, dejemos List Object habilitado en la OU

Para tal tarea haremos lo siguiente:

clip_image020

Abrimos adsiedit.msc. Vamos a  la ubicación detallada en la captura de pantalla y hacemos click derecho sobre CN=Directory Services. Click en Properties

clip_image022

Buscamos un atributo que se llama dSHeuristics y lo editamos

clip_image024

clip_image026

Estará en <not set> y debemos escribir 001

clip_image028

Le damos click en OK. Cerramos adsiedit. Debemos replicar los Domain Controllers para replicar este cambio. Cerramos y abrimos la consola de Active Directory Users and Computers en el equipo donde estábamos cambiando los permisos de la OU.

clip_image030

Revisamos nuevamente a los permisos y ahora vemos que tenemos List Objects junto con List Contents, pero ambos deshabilitados.

clip_image032

Hacemos click en List Objects

clip_image034

Hacemos un refresh y ahora podemos vernos, pero solo vamos a ver al usuario con el que estamos iniciando sesión.

clip_image036

Esta situación ocurre porque si vemos la seguridad de los objetos usuario dentro de la OU, los mismos tienen un usuario SELF con permisos de Read. En el permiso de Read se agrupa List Contents y List Object
Esto permite vernos a nosotros mismos sin ver a los otros y procesar las políticas, evitando los eventos 1053

Habilitar el poder ver este permiso nos habilita a establecer un nivel más granular de permisos sobre los objetos pero no cambia los ACL actuales que teníamos sobre todos los objetos.

Recordemos que en los contenedores donde ya teníamos seleccionado List Contents, por default ya tendremos List Object seleccionado pero ahora estará a la vista para poder sacarlo de manera individual
De igual manera donde teníamos removido List Contents, también estará removido List Object

Artículos relacionados con este procedimiento