none
Acceso a Directorio activo restringido para operadores de Help Desk RRS feed

  • Pregunta

  • Estimados, buena tarde espero me puedan ayudar con este requerimiento.

    Mi empresa implemento recientemente un Help Desk, desde el cual se atienden peticiones de reseteo de claves y desbloqueo de claves de red a toda la institución. Pero lastimosamente están ingresando los operativos al servidor para realizar esta acción ya que la atención del requerimiento debe ser inmediata. Como entenderán esto ademas de causarme inconvenientes de acceso y el mas grave de que estos operativos me generen alguna perdida de información.

    Como solución requiero dar acceso a estos operativos pero de una manera restringida sin ingresar al servidor. Es decir, colocar un acceso directo del DA en sus escritorios donde puedan atender los requerimientos de reseteo y desbloqueo de contraseñas, pero por el ámbito de sus tareas puedan verificar el perfil de los usuarios (SOLO LECTURA), si esta activo o des habilitado, (SOLO LECTURA).

    Pueden alguien darme alguna idea o solución de como realizar este trabajo?

    PD: esta es la única solución, ya que por temas presupuesta les no puedo adquirir un software de autentificacion unica. 

    En espera de todos sus comentarios. gracias!


    viernes, 22 de junio de 2018 22:41

Todas las respuestas

  • Por supuesto que puedes hacer eso, y de forma nativa, no necesitas nada adicional. Solo debes delegar los permisos según las tareas que vayas a definir. Acá te dejo una guía https://windowserver.wordpress.com/2014/08/14/delegar-administracin-en-active-directory/

    Su "marcar como respuesta" es mi sueldo :D

    sábado, 23 de junio de 2018 15:28
    Moderador
  • Gracias esta información, es muy interesante pero creo que no me explique muy bien por que no resuelve lo que necesito.

    El tema es que: en las maquinas de mis 12 operadores de help desk, quiero que aparezca el icono de acceso directo del directorio activo de la institución (el que se encuentra en el servidor) para que los operativos de helpdesk solamente puedan resetear y desbloquear contraseñas.... actualmente lo hacen pero ingresan directamente al server...y eso es lo que no deseo.... el tema de los permisos me ayuda mucho la información que me entregaste, eso tengo entendido que mi gente de infra lo esta haciendo.... pero sigo teniendo el inconveniente que todos se conectan abriendo sesión en el server que aloja mi active directory....

    Lo que deseo es:

    1.- que no ingresen al server, a ningun server... ni maquina virtual.

    2.- que el personal tenga es sus estaciones de trabajo un acceso directo al AD del servidor (y este es el cuestionamiento como realizar esto? es claro que ingresarán al server para interactuar el control de red pero no abrirán sesión y menos tendrán la clave del servidor ese es un hueco de seguridad terrible... lo vi en una empresa implementado, lastimosamente no tengo ningún contacto de infra para obtener esta información... pero si ellos lo hicieron estoy segura que los expertos me pueden decir.)

    Ojala me puedan ayudar. no es tema de permisos, Solo requiero que los operativos tengan como acceso directo el AD institucional para cumplir con su rol de help desk, sin necesidad de abrir sesion en el server cada vez que van a resetear una contraseña de red.

    lunes, 25 de junio de 2018 1:01
  • Exacto, los usuarios nunca debieron tener acceso al servidor para tareas triviales. Lo que necesitas se llama RSAT, es un paquete qur contiene las consolas para administracion remota de los distintos roles de Windowa Server. Para cumplir lo que deseas basta con que instales ese paquete en las respectivas instalaciones. Aunque lo recomendado es tener una estación de trabajo dedicada a tareas de administracion, usuarios diferentes a los usados dia a dia.

    Su "marcar como respuesta" es mi sueldo :D

    lunes, 25 de junio de 2018 1:07
    Moderador