none
Tabela delegar controle

    Question

  • Senhores boa tarde.
    Como delegar controle não é uma coisa que usamos todos os dias, eu precisava de uma tabela que me desse o caminho das pedras com relação à delegação de controle.
    Hoje eu fui delegar controle para um analista controle para dar reset e nudar as opções de usuário e colocar um computador no domínio.
    Me deperei com um um problema tosco, o analista conseguia dar o reset nas contas de usuário e colocar micro no domínio, mas ... nas opções de usuário ele não tinha poder de alterar.

    O que pode ser isso ?

    Se vcs souberem de alguma tabela de delegação de controle e poderem me enviar seria de grande ultilidade.

    Um abraço!

    Marcus


    Marcus P. Gioscia
    Wednesday, December 22, 2010 6:00 PM

Answers

  • Pessoal ainda não tive tempo hábil para realizar a tarefa na VM, mas em fim, vamos fechar esse tópico, para não ficar oculpando espaço e esforços em vão. Pois não sei quando vou poder testar, estou com várias coisas para fazer ao mesmo tempo

    Um abraço e obrigado pela força!

     

    Marcus!


    Marcus P. Gioscia
    Tuesday, January 11, 2011 3:55 PM

All replies

  • Ola Marcus,

      Uma das formas de você realizar esse procedimento caso você não queira que esse usuário tenha permissão de criar/excluir e gerenciar contas de usuários é criar uma tarefa customizada para delegate. Nesse caso você primeitamente poderá criar o delegate com a opção para resetar a senha dos usuários. Após esse primeiro delegate você poderá criar um custom delegate para esse mesmo usuário selecionar somente objetos de contas, marcar a opção geral e selecionar as opções Read e Write All Properties além da opção Read. Creio que seria interessante você criar um usuário para testar esses acessos.

    Espero ter ajudado.

    Rafael Okamoto
    ____________________________________________________________________________________________________________________

    Se este post lhe foi útil, por favor, marque-o como resposta.

    Wednesday, December 22, 2010 7:55 PM
  • Rafael bom dia.
    Deixa eu te dizer o que estou fazendo.
    1º - Vou em delegar controle e permito ao usuário mortal a possibilidade de redefinir senhas, criar, deletar e gerenciar contas, ler todoas as informações do usuário e modificar membros de um grupo.

    2º - Vou na propriedade do dominio, avançados, e para tentar resolver o pagode eu fui em add, coloqueio outra vez o login do porbre mortal, escolhi a opção user object e dei um full control.

    Mesmo assim o meu problema não foi resolvido, vc acha que está faltando alguma permissão que eu não estou liberando ?

    No aguardo.

     

    Marcus


    Marcus P. Gioscia
    Monday, December 27, 2010 1:55 PM
  • Olá Marcus

    vê esse link para delegação de controle para usuários

    http://www.activewin.com/win2000/step_by_step/active_directory/delegsteps.shtml

    e mais um da Technet Magazine, muito bom e lá em baixo na página tem mais dois links

    http://technet.microsoft.com/en-us/magazine/2007.02.activedirectory.aspx

    Abraço, Nassim


    Relação de Ajuda: Transitive e 2-way, A ajuda B ajuda C, então A ajudou C e C "deve" ajudar A.
    Monday, December 27, 2010 3:54 PM
  • Nasim boa tarde

    Estou dando uma lida nas documentações, caso resolva o meu problema postarei aqui!
    Um abraço!

    Marcus


    Marcus P. Gioscia
    Monday, December 27, 2010 6:16 PM
  • Nassim deixa eu dar o report.

    Vamos lá.

    Fiz as configurações conforme o procedimento por linha de comando: http://www.activewin.com/win2000/step_by_step/active_directory/delegsteps.shtml

    Ele apenas complementou o que eu já tinha lido no tudo de Best Practices for Delegating Active Directory.  Em fim, pelo que estou vendo continuei na mesma, quando eu aplico a delegação no meu dominio e peço que um usuário que recebeu a tal delegação faça qualquer mudança em uma conta que é domain admin ou enterprise admin, todos os campos ficam desabilitados para a tal mudança.

    Já não sei como proceder, pois se um analista precisar dar um reset no password de uma conta que é domain admin, não vai rolar.

    Em fim vc tem alguma dica que possa me auxiliar nessa luta ?

    Um abraço!

    Marcus


    Marcus P. Gioscia
    Monday, December 27, 2010 8:22 PM
  • Olá Marcus,

      Acho arriscado você delegar esse tipo de controle para as contas de Domain Admin ou Enterprise Admin. Elas são contas com muitos privilégios e caso algum desses usuários resolva modificar alguma configuração, utilizando uma dessas contas creio que lhe gerará muita dor de cabeça. Mas vamos ao problema: você chegou a verificar se a permissão que você alocou está inclusa na OU/Containner onde estão esses usuários? Para fazer essa verificação é necessário habilitar o Advanced Features (Opções Avançadas) no Active Directory Users and Computers. Acho que seria interessante verificar se os usuários Domain Admins e Entrerprise Admin estão com a herança habilitada, por padrão eles ficam sem herança. Para isso, você poderá clicar com o botão direito em cima de um desses usuários, clicar em Propriedades, selecionar a aba Segurança, depois em avançado e verificar se a herança (Obter permissões de herança do objeto pai) está selecionada.

    Espero ter ajudado.

    Rafael Okamoto
    ___________________________________________________________________________________________________________________

    Se este post lhe foi útil, por favor, marque-o como resposta.

    Tuesday, December 28, 2010 7:22 PM
  • Senhores boa tarde.
    Como delegar controle não é uma coisa que usamos todos os dias, eu precisava de uma tabela que me desse o caminho das pedras com relação à delegação de controle.
    Hoje eu fui delegar controle para um analista controle para dar reset e nudar as opções de usuário e colocar um computador no domínio.
    Me deperei com um um problema tosco, o analista conseguia dar o reset nas contas de usuário e colocar micro no domínio, mas ... nas opções de usuário ele não tinha poder de alterar.

    O que pode ser isso ?

    Se vcs souberem de alguma tabela de delegação de controle e poderem me enviar seria de grande ultilidade.

    Um abraço!

    Marcus


    Marcus P. Gioscia


    Olá Marcus,

    Em relação a esse seu questionamento de ingressar máquinas no domain, lembre-se que por padrão dos sistemas operacionais, é permitido com que usuários "não-administradores" ingressem máquinas no domínio por 10 vezes.

    Segue o artigo que referencia: http://support.microsoft.com/kb/243327/en

    Se aplica a todos os sistemas operacionais.

    Abraços.


    Carlos Eduardo Gnochi de Oliveira
    Wednesday, December 29, 2010 1:51 PM
  • Marcus

    verifique na aba segurança da unidade organizacional desejada as permissões do analista recem delegado, vê se está no jeito que você fez na delegação, e se não faça as mudanças manualmente.

    Altere e teste, anotando cada alteração para futuros usos.

     

    Abraço, Nassim


    Relação de Ajuda: Transitive e 2-way, A ajuda B ajuda C, então A ajudou C e C "deve" ajudar A.
    Thursday, December 30, 2010 9:15 PM
  • Nassim bom dia e feliz 2011 para todos do fórum.
    Eu andei olhando na Ou e nas permissões, vi que elas estão todas certas, me dando permissão de modificar.

    Mas quando vou ao objeto não tenho essa permissão, estou fazendo um lab aqui em uma VM para ver aonde está o problema.

    Qualquer coisa vou postar aqui para notificar como ficou.

    Um abraço!

    Marcus


    Marcus P. Gioscia
    Monday, January 03, 2011 1:31 PM
  • Marcus,

     

    Alguma novidade?

     

    Abraço,


    Erick Albuquerque
    Blog: http://erickalbuquerque.com.br |
    Artigos IIS: http://iisbrasil.wordpress.com
    Twitter: @_ealbuquerque
    Linkedin: http://br.linkedin.com/in/easantos
    Winseg.Org
    Thursday, January 06, 2011 4:07 PM
    Moderator
  • Olá Marcus.

    Alguma novidade sobre o problema?

     

    Abraço.

     


    Richard Juhasz
    Monday, January 10, 2011 6:01 PM
    Owner
  • Pessoal ainda não tive tempo hábil para realizar a tarefa na VM, mas em fim, vamos fechar esse tópico, para não ficar oculpando espaço e esforços em vão. Pois não sei quando vou poder testar, estou com várias coisas para fazer ao mesmo tempo

    Um abraço e obrigado pela força!

     

    Marcus!


    Marcus P. Gioscia
    Tuesday, January 11, 2011 3:55 PM