PERMISOS

Hola, SOS:

La idea de que <user>, aunque sea una persona de confianza,
conozca la clave de paso de una cuenta con privilegios Admin.
de dominio es una opción MUY arriesgada. La política local de
carácter "universal" establece que a cada <user> se le asigna
unos datos de login personales e intransferibles, de modo que
si en algún momento se sospecha siquiera que alguien emplea
datos que no sean los suyos propios, se le tiene que notificar
al Admin. para que aplique una solución que evite causarle un
grave perjurio al afectado. Por poner un ejemplo, imagínate que
Pepito Grillo, un usuario MUY listo, ha empleado los datos de
Luis García para cometer una atrocidad "gracias" a que de algún
modo, se los ha facilitado el titular. A efectos legales, Pepito ha
de asumr las responsabilidades asociadas con los actos de su
"colega". Por fortuna/desgracia, el mismo caso se podría aplicar
en éste escenario... (es MI opinión, que conste)

Respondiendo directamente a tu pregunta, en la consola DSA.msc
de tu <DC> (o GC), existe una utilidad llamada delegación que te
permite asignar objetos de cuentas de usuario (o de grupos) para
que puedan desarrollar unas determinadas acciones sin necesidad
de disponer de privilegios administrativos del dominio (dicho de otr
modo: empleando las credenciales propias).

Personalmente recomendaría que éste grupo de <users> se
implementase en sus máquinas (o cuanto menos, en sus perfiles)
los accesos a las diferentes consolas "maestras" del <DC> desde
las herramientas administrativas del CD de MS windows:

Uso del kit de recursos de MS windows
http://technet2.microsoft.com/windo...x?mfr=true

Para más info acerca de la delegación de administración, te
recomiendo eches un vistazo a las websites:

Delegación de la Administración
http://technet2.microsoft.com/Windo...e3082.mspx

Delegación del control
http://technet2.microsoft.com/windo...x?mfr=true

Uso del asistente para la delegación:
http://www.microsoft.com/spain/tech...rlwiz.mspx
·
Confío haberte servido de "alluda"
==Desiderio Ondo | Ing. en Informática.
MCSA | MCSE Windows Server 2K3.
http://pantuflo.escet.urjc.es/~desitech


"SOS" wrote:

Señores tengo la siguiente consulta:

Yo soy el administrador de la RED, y tengo gente a mi cargo pero a veces
tengo que darles mi cave para que ahgan algunas cosas en el SERVER, la
cosnulta es como creo usuarios para permisos especificos en AD, de mi
DOMINIO, me es uregente eso para relegar acciones sin afectar a mi propio
super usuario, de ahi evito que puedan comoter errores y tambien por
auditoria.

Saludos
Mauricio

Simple... crea un usuario y delega los permisos... :D

El punto es que tipos de permisos necesitas o que operaciones necesitas
habilitar
En este link hay una tabla con los grupos built in que existen en Active
Directory (ten en cuenta que solo aplican a los domain controllers)
http://www.windowsecurity.com/artic...ation.html en
dicha tabla tenes el grupo built in y los permisos por default
por ej el grupo server operators puede apagar el equipo, hacer backups,
compartir carpetas, cargar y descargar drivers...
si necesitas MENOS permisos que esos grupos, deberás utilizar wizards de
delegación y tocar la Default Domain Controllers policy para otorgar LOS
PERMISOS necesarios (es decir... la regla dice que hagas a los usuarios
miembros de los grupos Built IN salvo que tus necesidades en seguridad
indiquen que los permisos que obtienen SON demasiados)

Tambien en el vínculo te muestra como delegar PERMISOS sobre una OU para que
hagan tareas específicas, sin tener que loguearse con tu superaccount admin
superpulenta!!:D



Saludos

Rodrigo de los Santos



MCSA Messaging - CCA - CNA
Miembro del MUG Argentina (suscribite! http://www.mug.org.ar)

Url: http://www.dlssolutions.net
Blog: http://www.nerdsupport.com.ar
Blog: http://www.lazyadmin.com.ar




"SOS" wrote in message
news:

Señores tengo la siguiente consulta:

Yo soy el administrador de la RED, y tengo gente a mi cargo pero a veces
tengo que darles mi cave para que ahgan algunas cosas en el SERVER, la
cosnulta es como creo usuarios para permisos especificos en AD, de mi
DOMINIO, me es uregente eso para relegar acciones sin afectar a mi propio
super usuario, de ahi evito que puedan comoter errores y tambien por
auditoria.

Saludos
Mauricio