none
delegacion RRS feed

 > 

  • Pregunta

  • Question
    Inicie sesión para votar
    0
    Inicie sesión para votar

    Hola a todos,

    Tengo la siguiente consulta, referente a un AD sobre windows 2003,

    Necesito delegar control a un grupo de usuarios para que cambien los password de los usuarios del directorio activo, pero no quisiera que vean toda la estructura de OUs, existe la posibilidad de ocultar ciertas OU y mostrarle solo la OU a la que tiene acceso delegado, es posible realizar dicha configuracion ?

    Gracias por la ayuda

    jueves, 31 de enero de 2013 19:17
    |

Respuestas

  • Question
    Inicie sesión para votar
    1
    Inicie sesión para votar

    Hola Mikent

    Siempre puedes crear una consola personalizada de MMC para administrar el directorio activo. Sigue este link para más información acerca de como crear una consola personalizada

    http://windowsitpro.com/active-directory/create-active-directory-mmc-consoles-down-level-administrators

    Kenny Antunez MCSA W2K3 MCSA W2K3: Messaging MCSE W2K3 MOFF Certified

    • Marcado como respuesta Uriel Almendra miércoles, 9 de octubre de 2013 17:43
    martes, 4 de junio de 2013 0:34
    |
  • Question
    Inicie sesión para votar
    0
    Inicie sesión para votar

    Mikent,

    Para delegar este rol específico a usuarios/grupos puedes hacerlo desde la propia GUI de delegación de "Usuarios y equipos de AD"

    Revisa este enlace:

    http://support.microsoft.com/kb/296999

    A parte, siempre es más fácil dar que quitar :-), normalmente cualquier usuario tiene acceso read a la estructura del directorio desde la raiz, si quieres modificar las ACLs de las OUs, te recomiendo que te asegures antes de quitar entradas que puedan resultar en un problema. Si deniegas el acceso read tendrás problemas de autenticación contra el dominio seguro.

    Al final, si el usuario tiene lectura sólo podrá ver la información de atributos del objeto, pero no realizar ninguna modificación sobre estos.

    Si quieres modificar la estructura de seguridad de OUs, tendrás que truncar la herencia en las OUs a ocultar y modificar las entradas, échale un ojo a este post, pero repito, esto se debe hacer con un buen análisis ya que comporta riesgo:

    http://networkadminkb.com/KB/a23/how-to-hide-or-secure-objects-in-active-directory.aspx

    Saludos

    Julio Rosua


    • Editado Julian Ros miércoles, 5 de junio de 2013 7:36
    • Marcado como respuesta Uriel Almendra miércoles, 9 de octubre de 2013 17:43
    miércoles, 5 de junio de 2013 7:34
    |

Todas las respuestas

  • Question
    Inicie sesión para votar
    1
    Inicie sesión para votar

    Hola Mikent

    Siempre puedes crear una consola personalizada de MMC para administrar el directorio activo. Sigue este link para más información acerca de como crear una consola personalizada

    http://windowsitpro.com/active-directory/create-active-directory-mmc-consoles-down-level-administrators

    Kenny Antunez MCSA W2K3 MCSA W2K3: Messaging MCSE W2K3 MOFF Certified

    • Marcado como respuesta Uriel Almendra miércoles, 9 de octubre de 2013 17:43
    martes, 4 de junio de 2013 0:34
    |
  • Question
    Inicie sesión para votar
    0
    Inicie sesión para votar

    Mikent,

    Para delegar este rol específico a usuarios/grupos puedes hacerlo desde la propia GUI de delegación de "Usuarios y equipos de AD"

    Revisa este enlace:

    http://support.microsoft.com/kb/296999

    A parte, siempre es más fácil dar que quitar :-), normalmente cualquier usuario tiene acceso read a la estructura del directorio desde la raiz, si quieres modificar las ACLs de las OUs, te recomiendo que te asegures antes de quitar entradas que puedan resultar en un problema. Si deniegas el acceso read tendrás problemas de autenticación contra el dominio seguro.

    Al final, si el usuario tiene lectura sólo podrá ver la información de atributos del objeto, pero no realizar ninguna modificación sobre estos.

    Si quieres modificar la estructura de seguridad de OUs, tendrás que truncar la herencia en las OUs a ocultar y modificar las entradas, échale un ojo a este post, pero repito, esto se debe hacer con un buen análisis ya que comporta riesgo:

    http://networkadminkb.com/KB/a23/how-to-hide-or-secure-objects-in-active-directory.aspx

    Saludos

    Julio Rosua


    • Editado Julian Ros miércoles, 5 de junio de 2013 7:36
    • Marcado como respuesta Uriel Almendra miércoles, 9 de octubre de 2013 17:43
    miércoles, 5 de junio de 2013 7:34
    |