Consejo sobre permisos AD.

20/05/2007 - 13:38 por Miguel A. | Informe spam
Que diferencias exiten entre Administradores del Dominio, de esquema y de organizacion??.-

Actualmente tenemos como amdinistradores del dominio a 3 personas, pero no me gusta la idea, como puedo delegar las operaciones que
deben hacer?', solamente deben de poder mover e instalar equipos en varias GPOs, cerca de 20. Alguna idea??
 

Leer las respuestas

#1 Rodrigo de los Santos
20/05/2007 - 17:29 | Informe spam
El administrador de dominio está limitado unicamente al dominio, el que
lalmas de organización o Enterprise Admin tiene permisos adicionales sobre
el Forest entero y podría administrar otros dominios como tambien ciertas
particiones de Active Directory que el domain admin no puede (por ej, un
Enterprise Admin puede crear un nuevo dominio en el forest, cosa que el
Domain Admin no). Los miembros del grupo Schema Admins son aquellos que
tienen la posibilidad de realizar modificaciones sobre el Schema de Active
Directory (por ej. para instalar Exchange, o para migrar de Active Directory
2000 a 2003 debes tener permisos de Schema Admin ya que dichas
implementaciones modifican el Schema extendiendolo para albergar los nuevos
objetos y propiedades que se pueden utilizar con dichas tecnologías)
Cuando instalas el primer controlador de dominio del forest, el usuario
administrador pasa a ser miembro de Domain Admis, Enterprise Admins y Schema
Admins (además de otros grupos) por ende, el administrador del primer
dominio siempre es administrador del forest salvo que realices los cambios
oportunos.

COn respecto a la segunda pregunta, lo que puedes hacer es delegar permisos
sobre las unidades organizacionales (OUs) de esta manera, siempre y cuando
tu diseño de active directory lo permita, puedes darle permisos a un grupo
de usuarios para que (por ej.) den de alta usuarios nuevos, cambien las
membresías de los grupos o bien den de alta equipos (computadoras) para ser
agregados al dominio

Fijate estos documentos
http://www.microsoft.com/technet/pr...rlwiz.mspx
http://support.microsoft.com/kb/235531

Te aconsejo que crees una nueva OU (o en lo posible en un ambiente de testeo
separado y NO PRODUCTIVO) y trabajes con cuentas de Laboratorio para afinar
los permisos y documentar el proceso. Una vez que estas conforme con las
pruebas y te aseguraste de DARLE LOS MINIMOS PERMISOS NECESARIOS a dichos
usuarios, realiza el trabajo en producción

Saludos

Rodrigo de los Santos
rodrigo at dlssolutions dot net
www.dlssolutions.net
"Miguel A." wrote in message
news:u4$%
Que diferencias exiten entre Administradores del Dominio, de esquema y de
organizacion??.-

Actualmente tenemos como amdinistradores del dominio a 3 personas, pero no
me gusta la idea, como puedo delegar las operaciones que deben hacer?',
solamente deben de poder mover e instalar equipos en varias GPOs, cerca de
20. Alguna idea??

Preguntas similares