|
| |||||||
| Registrarse | Preguntas Frecuentes | Lista de Foreros | Calendario | Buscar | Temas de Hoy | Marcar Foros Como Leídos |
 |
| | LinkBack | Herramientas | Desplegado |
17-04-2008, 11:34:40
| |||
| |||
 Permisos para enviar como en el grupo administradores del dominio. Hola. Ante todo gracias por vuestra ayuda. Tengo un exchange 2003 en modo nativo ejecutándose sobre W2003 STD+ SP2 en un dominio con nivel funcional de dominio y bosque en nativo 2003. En el grupo de Administradores del dominio tenemos 10 usuarios que no pueden acceder a ningún buzón de la organización, sin embargo, cualquier usuario miembro del grupo Administradores del dominio puede utilizar la cuenta de otro usuario para enviar correos desde su cliente MAPI, simplemente colocando el usuario que se le antoje de la Global Address List en el campo DE. Este correo lo puede enviar tanto a nivel interno como externo... Este permiso de envio me parece un poder demasiado elevado para permitirlo dando la oportunidad de falsificar la identidad de un usuario sin dejar rastro alguno de ello. He estado realizando alguna prueba en lab y la única forma que veo de caparlo es acccediendo en Active Directory y usuario por usuario quitarle el permiso send as al Grupo Administradores del dominio, pero eso es una tarea difícil , no por los 1200 usuarios que tengo en el directorio sino porque cada vez que creo un usuario voy a tener que acordarme de ello... Existe alguna forma más simple de eliminar este permiso ??? Saludos y gracias nuevamente.  |
| Today
| ||||
| ||||
 Sponsored Links |
|
17-04-2008, 20:21:21
| |||
| |||
| Re: Permisos para enviar como en el grupo administradores del dominio. Existen unas denegaciones en los permisos que te deniegan receive as y send as. Alguien las quitó, pero fijate si estás heredando los permisos a nivel de Mailbox store. -- Pablo D. Vernocchi Microsoft Exchange MVP MCSE + M / MCSE + Sec https://mvp.support.microsoft.com/profile/Pablo http://www.itpros.com.ar http://www.msglue.org http://msmvps.com/exchangebloglatino <saronni***gmail.com> wrote in message news:fd36458e-0564-4e83-a5e7-e3e7f7b40c07***59g2000hsb.googlegroups.com... Hola. Ante todo gracias por vuestra ayuda. Tengo un exchange 2003 en modo nativo ejecutándose sobre W2003 STD+ SP2 en un dominio con nivel funcional de dominio y bosque en nativo 2003. En el grupo de Administradores del dominio tenemos 10 usuarios que no pueden acceder a ningún buzón de la organización, sin embargo, cualquier usuario miembro del grupo Administradores del dominio puede utilizar la cuenta de otro usuario para enviar correos desde su cliente MAPI, simplemente colocando el usuario que se le antoje de la Global Address List en el campo DE. Este correo lo puede enviar tanto a nivel interno como externo... Este permiso de envio me parece un poder demasiado elevado para permitirlo dando la oportunidad de falsificar la identidad de un usuario sin dejar rastro alguno de ello. He estado realizando alguna prueba en lab y la única forma que veo de caparlo es acccediendo en Active Directory y usuario por usuario quitarle el permiso send as al Grupo Administradores del dominio, pero eso es una tarea difícil , no por los 1200 usuarios que tengo en el directorio sino porque cada vez que creo un usuario voy a tener que acordarme de ello... Existe alguna forma más simple de eliminar este permiso ??? Saludos y gracias nuevamente. |
|
17-04-2008, 20:21:21
| |||
| |||
| Re: Permisos para enviar como en el grupo administradores del dominio. Existen unas denegaciones en los permisos que te deniegan receive as y send as. Alguien las quitó, pero fijate si estás heredando los permisos a nivel de Mailbox store. -- Pablo D. Vernocchi Microsoft Exchange MVP MCSE + M / MCSE + Sec https://mvp.support.microsoft.com/profile/Pablo http://www.itpros.com.ar http://www.msglue.org http://msmvps.com/exchangebloglatino <saronni***gmail.com> wrote in message news:fd36458e-0564-4e83-a5e7-e3e7f7b40c07***59g2000hsb.googlegroups.com... Hola. Ante todo gracias por vuestra ayuda. Tengo un exchange 2003 en modo nativo ejecutándose sobre W2003 STD+ SP2 en un dominio con nivel funcional de dominio y bosque en nativo 2003. En el grupo de Administradores del dominio tenemos 10 usuarios que no pueden acceder a ningún buzón de la organización, sin embargo, cualquier usuario miembro del grupo Administradores del dominio puede utilizar la cuenta de otro usuario para enviar correos desde su cliente MAPI, simplemente colocando el usuario que se le antoje de la Global Address List en el campo DE. Este correo lo puede enviar tanto a nivel interno como externo... Este permiso de envio me parece un poder demasiado elevado para permitirlo dando la oportunidad de falsificar la identidad de un usuario sin dejar rastro alguno de ello. He estado realizando alguna prueba en lab y la única forma que veo de caparlo es acccediendo en Active Directory y usuario por usuario quitarle el permiso send as al Grupo Administradores del dominio, pero eso es una tarea difícil , no por los 1200 usuarios que tengo en el directorio sino porque cada vez que creo un usuario voy a tener que acordarme de ello... Existe alguna forma más simple de eliminar este permiso ??? Saludos y gracias nuevamente. |
|
21-04-2008, 10:03:17
| |||
| |||
| Re: Permisos para enviar como en el grupo administradores deldominio. Gracias Pablo. He revisado el servidor a fondo, tengo 4 bases de datos y en las propiedades de cada una de ellas existe dentro del grupo de administradores del dominio un permiso de "send us" y otro de "receive us", ambos permisos están marcados como denegar y permitir y vienen heredados. Lo mismo ocurre si miro los permisos en las propiedades del servidor. He montado una máquina virtual y he realizado una instalación limpia de exchange 2003 en un dominio ficticio y he visto que los permisos son los mismos que en mi servidor de produccion y que si añado un usuario en el grupo de administradores del dominio tengo los mismos permisos para enviar en que en mi servidor de produccion... Deduzco entonces que es una configuración por default.. Pero no sé como evitar este privilegio... Te has encontrado alguna vez con este problema ??? Un saludo |
|
21-04-2008, 10:03:17
| |||
| |||
| Re: Permisos para enviar como en el grupo administradores deldominio. Gracias Pablo. He revisado el servidor a fondo, tengo 4 bases de datos y en las propiedades de cada una de ellas existe dentro del grupo de administradores del dominio un permiso de "send us" y otro de "receive us", ambos permisos están marcados como denegar y permitir y vienen heredados. Lo mismo ocurre si miro los permisos en las propiedades del servidor. He montado una máquina virtual y he realizado una instalación limpia de exchange 2003 en un dominio ficticio y he visto que los permisos son los mismos que en mi servidor de produccion y que si añado un usuario en el grupo de administradores del dominio tengo los mismos permisos para enviar en que en mi servidor de produccion... Deduzco entonces que es una configuración por default.. Pero no sé como evitar este privilegio... Te has encontrado alguna vez con este problema ??? Un saludo |
| |
| |
|
| Herramientas | |
| Desplegado | |
| |
Temas Similares | ||||
| Tema | Autor | Foro | Respuestas | Último mensaje |
| grupo del dominio como administradores locales de los PCs | usuariocomún | Newsgroup microsoft.public.es.windows.server.directorio_activo | 4 | 09-04-2008 05:41:00 |
| Directiva de Grupo - Problema para asignar permisos a grupo. | Alejo [CAP ARG] | Newsgroup microsoft.public.es.win2000 | 50 | 11-02-2008 19:46:12 |
| Permisos necesarios para cambiar el nombre de un WinXp en un Dominio | pachy2004@gmail.com | Newsgroup microsoft.public.es.windowsxp | 0 | 06-02-2008 21:02:43 |
| permisos minimos que debera tener cuenta para unir PC al dominio | David | Newsgroup microsoft.public.es.windows.server.directorio_activo | 3 | 10-01-2008 19:19:21 |
| Meter un grupo den dominio dentro del grupo administradores en las maquinas locales. | choocoloco@googlemail.com | Newsgroup microsoft.public.es.windows.server.directorio_activo | 3 | 28-09-2007 13:32:31 |
Mode Lineal
