Duda de seguridad

Efectivamente, en un DC no hay nada local, con lo que si a un usuario lo
haces que sea capaz de ser administrador del DC, eso implica que es un
administrador del dominio.

Respecto a la segunda pregunta, los grupos los creas tú y les das las
funciones que te parezca, por ejemplo con directivas de grupos restringidos:

Description of Group Policy Restricted Groups
http://support.microsoft.com/kb/279301/en-us

HOW TO: Use Restricted Groups in Windows 2000
http://support.microsoft.com/defaul...-US;228496

Un saludo
Fernando Reyes [MS MVP]
MCSA, MCSE, MCTS
http://freyes.svetlian.com
http://urpiano.wordpress.com
freyes.champú@champú.mvps.org
(Aclárate la cabeza si quieres escribirme)


"davidr" wrote:

Hola a todos,
tengo un par de dudas respecto a los usuarios de dominio y la sguridad sobre
ellos.
1. Si tengo un server 2003 que es DC, ¿es posible crear una cuenta de
dominio que sea administrador sólo de DC, no de todo el dominio?
Que yo sepa cuando un server pasa a ser DC deja de tener usuario locales.
2. ¿Existe algún grupo del AD como "Administradores del esquema" que no sean
de los grupos administradores pero que puedan instalar programas?. Por
ejemplo en XP tenemos los Usuarios Avanzados.

Mil gracias.

Hola Fernando, gracias.
Por poner un ejemplo, imagina que quiero crear un usuario que no sea
administrador del dominio pero que sí pueda instalar programas en mi DC.

Eso es lo que me pasa ya que, un proveedor externo se va a tener que
conectar a mi dc vía TS para instalar programas y no quiero que sea
administrador del dominio, para que no tenga acceso a todo mi AD... ¿cómo lo
tendría que crear?. Los que he creado hasta ahora o hacen de todo o no pueden
instalar

"Fernando Reyes [MS MVP]" wrote:

Efectivamente, en un DC no hay nada local, con lo que si a un usuario lo
haces que sea capaz de ser administrador del DC, eso implica que es un
administrador del dominio.

Respecto a la segunda pregunta, los grupos los creas tú y les das las
funciones que te parezca, por ejemplo con directivas de grupos restringidos:

Description of Group Policy Restricted Groups
http://support.microsoft.com/kb/279301/en-us

HOW TO: Use Restricted Groups in Windows 2000
http://support.microsoft.com/defaul...-US;228496

Un saludo
Fernando Reyes [MS MVP]
MCSA, MCSE, MCTS
http://freyes.svetlian.com
http://urpiano.wordpress.com
freyes.champú@champú.mvps.org
(Aclárate la cabeza si quieres escribirme)


"davidr" wrote:

> Hola a todos,
> tengo un par de dudas respecto a los usuarios de dominio y la sguridad sobre
> ellos.
> 1. Si tengo un server 2003 que es DC, ¿es posible crear una cuenta de
> dominio que sea administrador sólo de DC, no de todo el dominio?
> Que yo sepa cuando un server pasa a ser DC deja de tener usuario locales.
> 2. ¿Existe algún grupo del AD como "Administradores del esquema" que no sean
> de los grupos administradores pero que puedan instalar programas?. Por
> ejemplo en XP tenemos los Usuarios Avanzados.
>
> Mil gracias.

¡Qué mala idea instalar software en un DC y máxime una persona externa!

Podrías probar con el grupo builtin Server Operators, pero no creo que cuele.

Un saludo
Fernando Reyes [MS MVP]
MCSA, MCSE, MCTS
http://freyes.svetlian.com
http://urpiano.wordpress.com
freyes.champú@champú.mvps.org
(Aclárate la cabeza si quieres escribirme)


"davidr" wrote:

Hola Fernando, gracias.
Por poner un ejemplo, imagina que quiero crear un usuario que no sea
administrador del dominio pero que sí pueda instalar programas en mi DC.

Eso es lo que me pasa ya que, un proveedor externo se va a tener que
conectar a mi dc vía TS para instalar programas y no quiero que sea
administrador del dominio, para que no tenga acceso a todo mi AD... ¿cómo lo
tendría que crear?. Los que he creado hasta ahora o hacen de todo o no pueden
instalar

"Fernando Reyes [MS MVP]" wrote:

> Efectivamente, en un DC no hay nada local, con lo que si a un usuario lo
> haces que sea capaz de ser administrador del DC, eso implica que es un
> administrador del dominio.
>
> Respecto a la segunda pregunta, los grupos los creas tú y les das las
> funciones que te parezca, por ejemplo con directivas de grupos restringidos:
>
> Description of Group Policy Restricted Groups
> http://support.microsoft.com/kb/279301/en-us
>
> HOW TO: Use Restricted Groups in Windows 2000
> http://support.microsoft.com/defaul...-US;228496
>
> Un saludo
> Fernando Reyes [MS MVP]
> MCSA, MCSE, MCTS
> http://freyes.svetlian.com
> http://urpiano.wordpress.com
> freyes.champú@champú.mvps.org
> (Aclárate la cabeza si quieres escribirme)
>
>
> "davidr" wrote:
>
> > Hola a todos,
> > tengo un par de dudas respecto a los usuarios de dominio y la sguridad sobre
> > ellos.
> > 1. Si tengo un server 2003 que es DC, ¿es posible crear una cuenta de
> > dominio que sea administrador sólo de DC, no de todo el dominio?
> > Que yo sepa cuando un server pasa a ser DC deja de tener usuario locales.
> > 2. ¿Existe algún grupo del AD como "Administradores del esquema" que no sean
> > de los grupos administradores pero que puedan instalar programas?. Por
> > ejemplo en XP tenemos los Usuarios Avanzados.
> >
> > Mil gracias.

He probado con builtin Server Operators pero no funciona.
Desde luego que no es lo mejor. Lo malo es que son técnicos de hp y la
instalación de su software la hacen en remoto y por supuesto que me preocupa
que lo hagan así pero no veo otra solución.
Con vnc se ralentiza muchísimo e incluso se cuelga.
Os agradecería que si a alguno se os ocurre alguna solución me la
comentáseis..
Saludos.

"Fernando Reyes [MS MVP]" wrote:

¡Qué mala idea instalar software en un DC y máxime una persona externa!

Podrías probar con el grupo builtin Server Operators, pero no creo que cuele.

Un saludo
Fernando Reyes [MS MVP]
MCSA, MCSE, MCTS
http://freyes.svetlian.com
http://urpiano.wordpress.com
freyes.champú@champú.mvps.org
(Aclárate la cabeza si quieres escribirme)


"davidr" wrote:

> Hola Fernando, gracias.
> Por poner un ejemplo, imagina que quiero crear un usuario que no sea
> administrador del dominio pero que sí pueda instalar programas en mi DC.
>
> Eso es lo que me pasa ya que, un proveedor externo se va a tener que
> conectar a mi dc vía TS para instalar programas y no quiero que sea
> administrador del dominio, para que no tenga acceso a todo mi AD... ¿cómo lo
> tendría que crear?. Los que he creado hasta ahora o hacen de todo o no pueden
> instalar
>
> "Fernando Reyes [MS MVP]" wrote:
>
> > Efectivamente, en un DC no hay nada local, con lo que si a un usuario lo
> > haces que sea capaz de ser administrador del DC, eso implica que es un
> > administrador del dominio.
> >
> > Respecto a la segunda pregunta, los grupos los creas tú y les das las
> > funciones que te parezca, por ejemplo con directivas de grupos restringidos:
> >
> > Description of Group Policy Restricted Groups
> > http://support.microsoft.com/kb/279301/en-us
> >
> > HOW TO: Use Restricted Groups in Windows 2000
> > http://support.microsoft.com/defaul...-US;228496
> >
> > Un saludo
> > Fernando Reyes [MS MVP]
> > MCSA, MCSE, MCTS
> > http://freyes.svetlian.com
> > http://urpiano.wordpress.com
> > freyes.champú@champú.mvps.org
> > (Aclárate la cabeza si quieres escribirme)
> >
> >
> > "davidr" wrote:
> >
> > > Hola a todos,
> > > tengo un par de dudas respecto a los usuarios de dominio y la sguridad sobre
> > > ellos.
> > > 1. Si tengo un server 2003 que es DC, ¿es posible crear una cuenta de
> > > dominio que sea administrador sólo de DC, no de todo el dominio?
> > > Que yo sepa cuando un server pasa a ser DC deja de tener usuario locales.
> > > 2. ¿Existe algún grupo del AD como "Administradores del esquema" que no sean
> > > de los grupos administradores pero que puedan instalar programas?. Por
> > > ejemplo en XP tenemos los Usuarios Avanzados.
> > >
> > > Mil gracias.