none
Planificacion de administracion RRS feed

  • Pregunta

  • Buenos dias.

    Cuando se realiza una implantacion de active directory y vas metiendo servicios como sql server 2008, sharepoint, exchange...etc.

    Para administrar cada uno de estos productos como se suele realizar a nivel de dominio, ¿se crea una cuenta en de usuario en el dominio y se le da derechos sobre el administrador local de la maquina? ¿O como se realiza exactamente el proceso en produccion para evitar darles la contraseña de controlador de dominio?ç

    Un saludo.

    viernes, 28 de mayo de 2010 10:39

Respuestas

  • Hola,

    pues depende de la gente que conponga el departamento de IT, de la jerarquia de los componentes, de los roles que tengan cada uno ( sysadmins, DBAs, exchange admins, unpocodetodoadmins ) ... depende de como repartas esos servicios en tus servidores ( si son servidores dedicados para cada Rol o lo metes todo en uno o dos servidores y por lo tanto son compartidos )... depende mucho.

    Normalmente se suele jugar con una jerarquia de usuarios de IT que tienen acceso ( o no ) a determinados servidores con un perfil mas bajo si las tareas a realizar son low-level, y un privilegio mas alto en aquellos servidores en los que deben realizar determinadas tareas high-level.

    En el caso de los DCs tienes ademas la caracteristica de delegación de permisos a usuarios o grupos de usuarios para que realizen tareas corrientes como puede ser desbloquear usuarios, editar GPOs, etc.. sin tener que hacerlos administradores del dominio.

    Otra herramienta muy interesante son las consolas mmc personalizadas de manera que puedes crear consolas mmc con los Snap-ins que creas conveniente para manejar diferentes servicios ( administrar Exchange, SQL, etc.. ) y luego repartir esas consolas entre los integrantes del departamentos de manera que podran utilizar su contenido pero no alterar las propiedades de la misma por ejemplo.

    Pero aun y asi todo depende de la estructura de la compañia y de la gente que compone el departamento, si hay profesionalidad y un buen ambiente a veces vale la pena ser un poco mas tolerante en pro de tener algo mas de polivalencia.

     


    MCTS: Windows Server 2008 Active Directory, Configuring
    viernes, 28 de mayo de 2010 10:56
    Moderador
  • Con una cuenta de administrador local administras un equipo y sus posible sservicios, pero para SQL, necesitará los permisos de SQL como tal (dbadmin por ejemplo, o ocnocer la cuenta del sa)

    SharePoint no he trabajado con ello, pero entiendo que será de la misma forma, necesitará un usuario para la aplicaciñón que sea "administrador de dicha aplicación"


    -------- Salu2!! Javier Inglés https://mvp.support.microsoft.com/profile=540CC20A-D91F-4E7B-A209-2CB5567431B0 MS MVP, Windows Server-Directory Services. Microsoft Active Professional 2010
    viernes, 28 de mayo de 2010 11:32

Todas las respuestas

  • Lo que preguntas depende de cada caso/escenario/circunstancias, pero siempre por recomendación/seguridad, cada "servicio" lleva sus posible cuantas de administración o delegación.

    Tampoco es lo mismo un requerimiento de configuración de servicios en SQL2008 que en un Exchange 2007, o en un SQL2008 en cluster que sin él, por ejemplo...de ahí que no haya una respusta única posible a tu pregunta.

    Pero si tienes 3 servidores y eres el único administrador, puede ser normal que con una única cuenta adminsitres todo de todo; ahora, si tu empresa va a tener 500 servidores, 13 dominios, etc... lo más normal es que haya mucha diversidad en cuanto a la adminsitración y cuentas de uaaurio


    -------- Salu2!! Javier Inglés https://mvp.support.microsoft.com/profile=540CC20A-D91F-4E7B-A209-2CB5567431B0 MS MVP, Windows Server-Directory Services. Microsoft Active Professional 2010
    viernes, 28 de mayo de 2010 10:53
  • Hola,

    pues depende de la gente que conponga el departamento de IT, de la jerarquia de los componentes, de los roles que tengan cada uno ( sysadmins, DBAs, exchange admins, unpocodetodoadmins ) ... depende de como repartas esos servicios en tus servidores ( si son servidores dedicados para cada Rol o lo metes todo en uno o dos servidores y por lo tanto son compartidos )... depende mucho.

    Normalmente se suele jugar con una jerarquia de usuarios de IT que tienen acceso ( o no ) a determinados servidores con un perfil mas bajo si las tareas a realizar son low-level, y un privilegio mas alto en aquellos servidores en los que deben realizar determinadas tareas high-level.

    En el caso de los DCs tienes ademas la caracteristica de delegación de permisos a usuarios o grupos de usuarios para que realizen tareas corrientes como puede ser desbloquear usuarios, editar GPOs, etc.. sin tener que hacerlos administradores del dominio.

    Otra herramienta muy interesante son las consolas mmc personalizadas de manera que puedes crear consolas mmc con los Snap-ins que creas conveniente para manejar diferentes servicios ( administrar Exchange, SQL, etc.. ) y luego repartir esas consolas entre los integrantes del departamentos de manera que podran utilizar su contenido pero no alterar las propiedades de la misma por ejemplo.

    Pero aun y asi todo depende de la estructura de la compañia y de la gente que compone el departamento, si hay profesionalidad y un buen ambiente a veces vale la pena ser un poco mas tolerante en pro de tener algo mas de polivalencia.

     


    MCTS: Windows Server 2008 Active Directory, Configuring
    viernes, 28 de mayo de 2010 10:56
    Moderador
  • Te pongo el ejemplo

     

    Servidor Sql 2008, sin cluster, y sharepoint, el administrador es el mismo, pero independiente a mi, es decir no administraria el dominio, no tiene que tener permisos de administrador de dominio.

     

    ¿Seria suficiente con dar permisos de administrador local a su cuenta de usuario?

     

    Que me recomendarias en mi caso.

    viernes, 28 de mayo de 2010 10:59
  • Con una cuenta de administrador local administras un equipo y sus posible sservicios, pero para SQL, necesitará los permisos de SQL como tal (dbadmin por ejemplo, o ocnocer la cuenta del sa)

    SharePoint no he trabajado con ello, pero entiendo que será de la misma forma, necesitará un usuario para la aplicaciñón que sea "administrador de dicha aplicación"


    -------- Salu2!! Javier Inglés https://mvp.support.microsoft.com/profile=540CC20A-D91F-4E7B-A209-2CB5567431B0 MS MVP, Windows Server-Directory Services. Microsoft Active Professional 2010
    viernes, 28 de mayo de 2010 11:32