Consejo sobre permisos AD.

20/05/2007 - 13:38 por Miguel A. | Informe spam
Que diferencias exiten entre Administradores del Dominio, de esquema y de organizacion??.-

Actualmente tenemos como amdinistradores del dominio a 3 personas, pero no me gusta la idea, como puedo delegar las operaciones que
deben hacer?', solamente deben de poder mover e instalar equipos en varias GPOs, cerca de 20. Alguna idea??

Preguntas similare

Leer las respuestas

#1 Rodrigo de los Santos
20/05/2007 - 17:29 | Informe spam
El administrador de dominio está limitado unicamente al dominio, el que
lalmas de organización o Enterprise Admin tiene permisos adicionales sobre
el Forest entero y podría administrar otros dominios como tambien ciertas
particiones de Active Directory que el domain admin no puede (por ej, un
Enterprise Admin puede crear un nuevo dominio en el forest, cosa que el
Domain Admin no). Los miembros del grupo Schema Admins son aquellos que
tienen la posibilidad de realizar modificaciones sobre el Schema de Active
Directory (por ej. para instalar Exchange, o para migrar de Active Directory
2000 a 2003 debes tener permisos de Schema Admin ya que dichas
implementaciones modifican el Schema extendiendolo para albergar los nuevos
objetos y propiedades que se pueden utilizar con dichas tecnologías)
Cuando instalas el primer controlador de dominio del forest, el usuario
administrador pasa a ser miembro de Domain Admis, Enterprise Admins y Schema
Admins (además de otros grupos) por ende, el administrador del primer
dominio siempre es administrador del forest salvo que realices los cambios
oportunos.

COn respecto a la segunda pregunta, lo que puedes hacer es delegar permisos
sobre las unidades organizacionales (OUs) de esta manera, siempre y cuando
tu diseño de active directory lo permita, puedes darle permisos a un grupo
de usuarios para que (por ej.) den de alta usuarios nuevos, cambien las
membresías de los grupos o bien den de alta equipos (computadoras) para ser
agregados al dominio

Fijate estos documentos
http://www.microsoft.com/technet/pr...rlwiz.mspx
http://support.microsoft.com/kb/235531

Te aconsejo que crees una nueva OU (o en lo posible en un ambiente de testeo
separado y NO PRODUCTIVO) y trabajes con cuentas de Laboratorio para afinar
los permisos y documentar el proceso. Una vez que estas conforme con las
pruebas y te aseguraste de DARLE LOS MINIMOS PERMISOS NECESARIOS a dichos
usuarios, realiza el trabajo en producción

Saludos

Rodrigo de los Santos
rodrigo at dlssolutions dot net
www.dlssolutions.net
"Miguel A." wrote in message
news:u4$%
Que diferencias exiten entre Administradores del Dominio, de esquema y de
organizacion??.-

Actualmente tenemos como amdinistradores del dominio a 3 personas, pero no
me gusta la idea, como puedo delegar las operaciones que deben hacer?',
solamente deben de poder mover e instalar equipos en varias GPOs, cerca de
20. Alguna idea??
Respuesta Responder a este mensaje
#2 Miguel A.
20/05/2007 - 18:11 | Informe spam
Muchas gracias por todo. aclarado.

"Rodrigo de los Santos" <rodrigo at dlssolutions dot net> wrote in message news:
El administrador de dominio está limitado unicamente al dominio, el que lalmas de organización o Enterprise Admin tiene permisos
adicionales sobre el Forest entero y podría administrar otros dominios como tambien ciertas particiones de Active Directory que el
domain admin no puede (por ej, un Enterprise Admin puede crear un nuevo dominio en el forest, cosa que el Domain Admin no). Los
miembros del grupo Schema Admins son aquellos que tienen la posibilidad de realizar modificaciones sobre el Schema de Active
Directory (por ej. para instalar Exchange, o para migrar de Active Directory 2000 a 2003 debes tener permisos de Schema Admin ya
que dichas implementaciones modifican el Schema extendiendolo para albergar los nuevos objetos y propiedades que se pueden
utilizar con dichas tecnologías)
Cuando instalas el primer controlador de dominio del forest, el usuario administrador pasa a ser miembro de Domain Admis,
Enterprise Admins y Schema Admins (además de otros grupos) por ende, el administrador del primer dominio siempre es administrador
del forest salvo que realices los cambios oportunos.

COn respecto a la segunda pregunta, lo que puedes hacer es delegar permisos sobre las unidades organizacionales (OUs) de esta
manera, siempre y cuando tu diseño de active directory lo permita, puedes darle permisos a un grupo de usuarios para que (por ej.)
den de alta usuarios nuevos, cambien las membresías de los grupos o bien den de alta equipos (computadoras) para ser agregados al
dominio

Fijate estos documentos
http://www.microsoft.com/technet/pr...rlwiz.mspx
http://support.microsoft.com/kb/235531

Te aconsejo que crees una nueva OU (o en lo posible en un ambiente de testeo separado y NO PRODUCTIVO) y trabajes con cuentas de
Laboratorio para afinar los permisos y documentar el proceso. Una vez que estas conforme con las pruebas y te aseguraste de DARLE
LOS MINIMOS PERMISOS NECESARIOS a dichos usuarios, realiza el trabajo en producción

Saludos

Rodrigo de los Santos
rodrigo at dlssolutions dot net
www.dlssolutions.net
"Miguel A." wrote in message news:u4$%
Que diferencias exiten entre Administradores del Dominio, de esquema y de organizacion??.-

Actualmente tenemos como amdinistradores del dominio a 3 personas, pero no me gusta la idea, como puedo delegar las operaciones
que deben hacer?', solamente deben de poder mover e instalar equipos en varias GPOs, cerca de 20. Alguna idea??



email Siga el debate Respuesta Responder a este mensaje
Ads by Google
Help Hacer una preguntaRespuesta Tengo una respuesta
Search Busqueda sugerida