none
Delegacion de administracion de equipo en domain controller RRS feed

  • Pregunta

  • Buenas Tardes,

    Estoy buscando la forma de delegar la administracion del sistema operativo ( OS, red, logs, prc connection, correr diag tools, etc) sin darle a los usuarios a los usuarios permisos de Domain admins / enterprise admins. Tambien ver la forma de darle permisos temporales para instalar aplicaciones si es necesario eventualmente.

    OS windows 2003 y Windows 2008 / 08 R2

    Espero que me puedan ayudar muchas gracias!

    martes, 24 de julio de 2012 17:38

Respuestas

  • No lamentablemente, en un DC no hay "administradores locales". Salvo que sean RODCs (Read Only Domain Controller)

    Es uno de los motivos para que los DCs sean eso: DCs, y no cumplan otras funciones como servidores de archivos, aplicaciones, etc.

    Aunque lo incluyeras sólo en Administradores, al pertenecer a ese grupo, el mismo usuario puede incluirse en los grupos que quiera (Domain Admins, Enterprise Admins, Schema Admins, etc.)

    Y no es ilógico, ya que si puede administrar, instalar, etc. en un DC puede comprometer todo el Active Directory

     


    Guillermo Delprato - Buenos Aires, Argentina
    Visite Notas Windows Server
    MVP - MCT - MCSE - MCSA
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    • Marcado como respuesta Juan- jueves, 26 de julio de 2012 18:52
    martes, 24 de julio de 2012 22:02
    Moderador

Todas las respuestas

  • Simplemente debes incluir la cuenta de usuario  del dominio en el grupo *local* administradores de cada equipo que quieras delegar

    Eso lo hará administrador del equipo, pero no del dominio

     

     


    Guillermo Delprato - Buenos Aires, Argentina
    Visite Notas Windows Server
    MVP - MCT - MCSE - MCSA
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    martes, 24 de julio de 2012 18:30
    Moderador
  • Perdon me referia equipos ** Domain Controllers***
    martes, 24 de julio de 2012 20:55
  • No lamentablemente, en un DC no hay "administradores locales". Salvo que sean RODCs (Read Only Domain Controller)

    Es uno de los motivos para que los DCs sean eso: DCs, y no cumplan otras funciones como servidores de archivos, aplicaciones, etc.

    Aunque lo incluyeras sólo en Administradores, al pertenecer a ese grupo, el mismo usuario puede incluirse en los grupos que quiera (Domain Admins, Enterprise Admins, Schema Admins, etc.)

    Y no es ilógico, ya que si puede administrar, instalar, etc. en un DC puede comprometer todo el Active Directory

     


    Guillermo Delprato - Buenos Aires, Argentina
    Visite Notas Windows Server
    MVP - MCT - MCSE - MCSA
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    • Marcado como respuesta Juan- jueves, 26 de julio de 2012 18:52
    martes, 24 de julio de 2012 22:02
    Moderador