De forma predeterminada, cada unidad organizativa (OU) recién creada en la lista de acceso incluye permiso de lectura para el grupo Usuarios autenticados (grupo integrado). Esto permite que todos los usuarios del dominio puedan ver el contenido de cualquier UNED en Active Directory usando Complemento Usuarios y equipos de Active Directory. En consecuencia, con el fin para ocultar la unidad organizativa específica de los usuarios, es necesario editar la configuración de seguridad de la unidad organizativa manualmente cada vez. Puede deshacerse de la edición manual de los permisos de la unidad organizativa cambiando las propiedades predeterminadas de la clase Unidad organizativa.

Cambio de permisos de unidad organizativa predeterminados

En Active Directory puede cambiar las propiedades de la clase de objeto modificando el esquema de Active Directory. Para hacer esto, necesitamos instalar el complemento «Esquema de Active Directory» (por defecto, por razones de seguridad, este complemento está deshabilitado en los controladores de dominio).

Varias notas importantes.

  • Al editar el esquema de directorio activodebes tener mucho cuidado, ya que los cambios pueden afectar a todo el bosque.
  • Para realizar cambios en el esquema, su cuenta debe agregarse directamente a Administradores de esquema grupo (los grupos de administradores de empresas y dominios no son lo mismo que un grupo de administradores de esquema).

Al principio, abra un símbolo del sistema elevado en el controlador de dominio y registre la biblioteca dinámica schmmgmt.dllque es necesario para ejecutar el complemento:

regsvr32 schmmgmt.dll

Luego abra la consola mmc y vaya a Archivo -> Agregar o quitar complemento.

En la lista de complementos disponibles, seleccione Esquema de directorio activoañádelo a la consola presionando el botón Agregar y OK.

esquema del directorio activo

El complemento Esquema de Active Directory le permite editar todas las clases y atributos existentes de Active Directory.

Ampliar la Esquema de Active Directory (Dcname1) E ir a Clases sección. En la lista de clases, busque la clase unidad organizacionalhaga clic derecho sobre él y seleccione Propiedades.

unidad organizativa del directorio activo

En la página de propiedades de la clase, abra la pestaña «Seguridad predeterminada». Esta pestaña contiene los permisos predeterminados para la nueva unidad organizativa en Active Directory. Simplemente puede eliminar el permiso de lectura para el grupo de usuarios autenticados, o usar el botón «Avanzado», que lo cambia a la configuración avanzada.

directorio activo o propiedades

Si selecciona Configuración de seguridad avanzada, en la lista de permisos de OU, seleccione el grupo Usuarios autenticados y haga clic en Editar.

tu seguridad

En la nueva ventana abierta especificamos los permisos de OU deseados. Por ejemplo, queremos quitar el permiso lista de objetos, pero deje los permisos para Leer todas las propiedades para todos los objetos en OU.

nuestros permisos

Guarde los cambios presionando el botón Aceptar 3 veces y cierre el complemento. Para aplicar los cambios en AD, debe esperar un tiempo para replicar los cambios de esquema en todos los DC de su bosque.

Después de eso, cuando cree una nueva unidad organizativa en Active Directory, de forma predeterminada, los usuarios del dominio no podrán ver la lista de objetos que contiene.

Esta configuración se aplicará solo a todas las unidades organizativas recién creadas, para los permisos de unidades organizativas existentes no se cambiará.

Recomendado para ti