Duda de seguridad

Efectivamente, en un DC no hay nada local, con lo que si a un usuario lo
haces que sea capaz de ser administrador del DC, eso implica que es un
administrador del dominio.

Respecto a la segunda pregunta, los grupos los creas tú y les das las
funciones que te parezca, por ejemplo con directivas de grupos restringidos:

Description of Group Policy Restricted Groups
http://support.microsoft.com/kb/279301/en-us

HOW TO: Use Restricted Groups in Windows 2000
http://support.microsoft.com/defaul...-US;228496

Un saludo
Fernando Reyes [MS MVP]
MCSA, MCSE, MCTS
http://freyes.svetlian.com
http://urpiano.wordpress.com
freyes.champú@champú.mvps.org
(Aclárate la cabeza si quieres escribirme)


"davidr" wrote:

Hola a todos,
tengo un par de dudas respecto a los usuarios de dominio y la sguridad sobre
ellos.
1. Si tengo un server 2003 que es DC, ¿es posible crear una cuenta de
dominio que sea administrador sólo de DC, no de todo el dominio?
Que yo sepa cuando un server pasa a ser DC deja de tener usuario locales.
2. ¿Existe algún grupo del AD como "Administradores del esquema" que no sean
de los grupos administradores pero que puedan instalar programas?. Por
ejemplo en XP tenemos los Usuarios Avanzados.

Mil gracias.