Delegación de Tareas

Si quieres un consejo, cuanto menos delegues más trabajo tendrás en la central, pero menos posibilidades habrá de que el
dominio tenga problemas. Salvo que puedas establecer unas normas estrictas sobre creación y eliminación de cuentas y de
cómo se establecen las cosas en el dominio, y que tus administradores delegados las sigan a rajatabla, no es conveniente
delegar ciertas tareas.
Por ejemplo, la creación de cuentas la haría siempre centralizada. Diseña un formulario y publícalo en una página web en
la intranet, y que los administradores delegados soliciten a través de él la creación, movimiento y eliminación de
cuentas, pero hazlo tú desde la sede central. Lo que sí puedes hacer es delegar en la OU que corresponda a cada
organismo los permisos necesarios a esos administradores delegados para que modifiquen pertenencia a grupos, atributos
de usuarios, modificaciones de contraseñas y como dices, permitirles añadir equipos al dominio. De hecho, en mis
dominios ni siquiera tienen esos permisos los usuarios que son administradores (ni el mio siquiera), sino que en cada
organismo se creó una cuenta específica para la administración del mismo y esa es la que tiene delegados los permisos
necesarios. De esta forma, estos administradores delegados usan normalmente en su trabajo diario una cuenta de usuario
restringido, y sólo usamos la que tiene derechos delegados cuando es preciso realizar una tarea específica de
administración que lo requiera.

Saludos

José Antonio Quílez
Sevilla - España
http://msmvps.com/quilez/

"Alejandro Rapaport" escribió en el mensaje news:%

Buenas,

Tengo un AD en W2k3, con varias organizaciónes, estas responden a la ubicación geografica de las sucursales. Mi idea
es darle a cada responsable de tecnologia del lugar la capacidad de crear cuentas, agregar/sacar pc, etc.

Como es la mejor forma de hacerlo?

Muchas gracais

Alejandro