Requisitos de funciones de administración de red en controladores de Dominio de Active Directory

Si llama a una de las funciones de administración de red enumeradas en este tema en un controlador de dominio que ejecuta Active Directory, se permite o se deniega el acceso a un objeto protegible en función de la lista de control de acceso (ACL) para el objeto. (Las ACL se especifican en el directorio).

Los distintos requisitos de acceso se aplican a las consultas de información y las actualizaciones de información.

Consultas

En el caso de las consultas, la ACL predeterminada permite que todos los usuarios y miembros autenticados del grupo "Acceso compatible con Pre-Windows 2000" lean y enumeren información. Las funciones enumeradas a continuación se ven afectadas:

• NetGroupEnum, NetGroupGetInfo, NetGroupGetUsers
• NetLocalGroupEnum, NetLocalGroupGetInfo, NetLocalGroupGetMembers
• NetQueryDisplayInformation
• NetSessionGetInfo (solo niveles 1 y 2)
• NetShareEnum (solo niveles 2 y 502)
• NetUserEnum, NetUserGetGroups, NetUserGetInfo, NetUserGetLocalGroups, NetUserModalsGet
• NetWkstaGetInfo, NetWkstaUserEnum

El acceso anónimo a la información de grupo requiere que el usuario Anónimo se agregue explícitamente al grupo "Acceso compatible con Pre-Windows 2000". Esto se debe a que los tokens anónimos no incluyen el SID del grupo Todos.

Windows 2000: De forma predeterminada, el grupo "Acceso compatible con Pre-Windows 2000" incluye Todos como miembro. Esto permite el acceso anónimo (inicio de sesión anónimo) a información si el sistema permite el acceso anónimo. Los administradores pueden quitar Todos los usuarios del grupo "Acceso compatible anterior a Windows 2000" en cualquier momento. Al quitar todos los usuarios del grupo, solo se restringe el acceso a la información a los usuarios autenticados. Para obtener más información sobre el acceso anónimo, consulte Identificadores de seguridad y SID conocidos.

Puede invalidar el valor predeterminado del sistema estableciendo la siguiente clave en el Registro en el valor 1:

\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LsaEveryoneIncludesAnonymous = 1

Consulte NetWkstaGetInfo y NetWkstaUserEnum para obtener información adicional sobre el acceso anónimo a la información de grupo al llamar a estas dos funciones.

Actualizaciones

En el caso de las actualizaciones, la ACL predeterminada permite que solo los administradores de dominio y los operadores de cuenta escriban información. Una excepción es que los usuarios pueden cambiar su propia contraseña y establecer el campo usri*_usr_comment. Otra excepción es que los operadores de cuenta no pueden modificar las cuentas de administración. Las funciones enumeradas a continuación se ven afectadas:

• NetGroupAdd, NetGroupAddUser, NetGroupDel, NetGroupDelUser, NetGroupSetInfo, NetGroupSetUsers
• NetLocalGroupAdd, NetLocalGroupAddMembers, NetLocalGroupDel, NetLocalGroupDelMembers, NetLocalGroupSetInfo, NetLocalGroupSetMembers
• NetMessageBufferSend
• NetUserAdd, NetUserChangePassword, NetUserDel, NetUserModalsSet, NetUserSetGroups, NetUserSetInfo

Normalmente, los autores de llamadas deben tener acceso de escritura a todo el objeto para que las llamadas a NetUserModalsSet, NetUserSetInfo, NetGroupSetInfo y NetLocalGroupSetInfo se realicen correctamente. Para el control de acceso más fino, debe considerar el uso de ADSI. Para obtener más información sobre ADSI, consulte Interfaces de servicio de Active Directory.

Para obtener más información sobre cómo controlar el acceso a objetos protegibles, vea Access Control, Privilegios y Objetos protegibles. Para obtener más información sobre las funciones de llamada que requieren privilegios de administrador, consulte Ejecución con privilegios especiales.