Principales respuestas
Delegacion de administracion de equipo en domain controller

Pregunta
-
Buenas Tardes,
Estoy buscando la forma de delegar la administracion del sistema operativo ( OS, red, logs, prc connection, correr diag tools, etc) sin darle a los usuarios a los usuarios permisos de Domain admins / enterprise admins. Tambien ver la forma de darle permisos temporales para instalar aplicaciones si es necesario eventualmente.
OS windows 2003 y Windows 2008 / 08 R2
Espero que me puedan ayudar muchas gracias!
Respuestas
-
No lamentablemente, en un DC no hay "administradores locales". Salvo que sean RODCs (Read Only Domain Controller)
Es uno de los motivos para que los DCs sean eso: DCs, y no cumplan otras funciones como servidores de archivos, aplicaciones, etc.
Aunque lo incluyeras sólo en Administradores, al pertenecer a ese grupo, el mismo usuario puede incluirse en los grupos que quiera (Domain Admins, Enterprise Admins, Schema Admins, etc.)
Y no es ilógico, ya que si puede administrar, instalar, etc. en un DC puede comprometer todo el Active Directory
Guillermo Delprato - Buenos Aires, Argentina
Visite Notas Windows Server
MVP - MCT - MCSE - MCSA
MCITP: Enterprise Administrator / Server Administrator
MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration
Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.- Marcado como respuesta Juan- jueves, 26 de julio de 2012 18:52
Todas las respuestas
-
Simplemente debes incluir la cuenta de usuario del dominio en el grupo *local* administradores de cada equipo que quieras delegar
Eso lo hará administrador del equipo, pero no del dominio
Guillermo Delprato - Buenos Aires, Argentina
Visite Notas Windows Server
MVP - MCT - MCSE - MCSA
MCITP: Enterprise Administrator / Server Administrator
MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration
Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos. -
-
No lamentablemente, en un DC no hay "administradores locales". Salvo que sean RODCs (Read Only Domain Controller)
Es uno de los motivos para que los DCs sean eso: DCs, y no cumplan otras funciones como servidores de archivos, aplicaciones, etc.
Aunque lo incluyeras sólo en Administradores, al pertenecer a ese grupo, el mismo usuario puede incluirse en los grupos que quiera (Domain Admins, Enterprise Admins, Schema Admins, etc.)
Y no es ilógico, ya que si puede administrar, instalar, etc. en un DC puede comprometer todo el Active Directory
Guillermo Delprato - Buenos Aires, Argentina
Visite Notas Windows Server
MVP - MCT - MCSE - MCSA
MCITP: Enterprise Administrator / Server Administrator
MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration
Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.- Marcado como respuesta Juan- jueves, 26 de julio de 2012 18:52