none
Configuración Directorio Activo. RRS feed

  • Pregunta

  • Buenas!

    En mi organización nos han mandado que seamos los administradores de un directorio activo llamemosle X. Está instalado en un windows server 2012 standart. Bien, nos piden que administremos ese AD pero que existan usuarios sin que sean Admin que sean capaces de crear usuarios. Existe un rol que es operador de cuentas que crea/modifica usuarios, pero yo al ponerles ese rol y quitarles de administrador, ellos nos pueden hacer un escritorio remoto contra el directorio activo porque no son administradores. ¿existe alguna herramienta para hacer eso posible?

    Es decir, que ellos puedan hacer escritorio remoto contra el directorio activo que puedan conectarse y modificar/crear/eliminar sus usuarios sin que ellos puedan ver los perfiles de nosotros los administradores.

    Soy algo nuevo en AD y ando un poco perdido.

    Muchas gracias

    lunes, 6 de febrero de 2017 15:06

Respuestas

  • Hola, asturianin:

    Ante todo, ten en cuenta que es poco recomendable "jugar" con el AD *en Producción* de una compañía si no se tiene la formación/conocimientos necesarios para una correcta gestión de los datos. Ten en cuenta que es básicamente el núcleo de funcionamiento de una red corporativa, y un error puede pagarse MUY caro. Mi recomendación es que no dudéis en consultar todo cuanto sea necesario, a fin de que no tengáis muy serios problemas.. Para hacerte una idea, es como si de repente, a un mecánico le metieran en un quirófano para operar de apendicitis a un ser querido.

    Respondiendo directamente a tu consulta, lo que pides no es una cuenta explícita "per se" sino una función integrada en el sistema denominada "Delegación de permisos" en el AD. El proceso es básicamente, asignarle a una cuenta de usuario (privilegios mínimos como "Operadores de cuenta") los permisos necesarios para gestionar el contenido de una OU. Te recomiendo sigas las indicaciones señaladas en:

    · Delegación del control de unidades organizativas:
    https://technet.microsoft.com/en-us/library/cc732524(v=ws.11).aspx


    Desiderio Ondo || Engineer

    lunes, 6 de febrero de 2017 16:11

Todas las respuestas

  • El "Escritorio Remoto para Administración", que así se llama la funcionalidad sin instalar nada, y sin requerimiento de licenciamiento aparte, es así, sólo los administradores y máximo dos conexiones simultáneas

    Instalar y configurar "Escritorio Remoto" entiendo que no justifica para tu caso, ya que no sólo hay que instalar varios componentes, requiere licenciamiento aparte, y no lo permitirá sobre los Controladores de Dominio

    Pero queda una opción :)

    En las máquinas cliente que usan estos usuarios, puedes instalar las Herramientas Administrativas, y que trabajen desde esta máquina sobre los servidores que necesiten. Aunque hay que tener cuidado con algo, para tener funcionalidad completa debe coincidir la versión del cliente, y la del servidor

    Si el servidor es W2012 o W2012R2 debes descargar e instalar las herramientas administrativas para W8.1

    Download Remote Server Administration Tools for Windows 8.1 from Official Microsoft Download Center
    https://www.microsoft.com/en-us/download/details.aspx?id=39296 

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    lunes, 6 de febrero de 2017 16:06
    Moderador
  • Hola, asturianin:

    Ante todo, ten en cuenta que es poco recomendable "jugar" con el AD *en Producción* de una compañía si no se tiene la formación/conocimientos necesarios para una correcta gestión de los datos. Ten en cuenta que es básicamente el núcleo de funcionamiento de una red corporativa, y un error puede pagarse MUY caro. Mi recomendación es que no dudéis en consultar todo cuanto sea necesario, a fin de que no tengáis muy serios problemas.. Para hacerte una idea, es como si de repente, a un mecánico le metieran en un quirófano para operar de apendicitis a un ser querido.

    Respondiendo directamente a tu consulta, lo que pides no es una cuenta explícita "per se" sino una función integrada en el sistema denominada "Delegación de permisos" en el AD. El proceso es básicamente, asignarle a una cuenta de usuario (privilegios mínimos como "Operadores de cuenta") los permisos necesarios para gestionar el contenido de una OU. Te recomiendo sigas las indicaciones señaladas en:

    · Delegación del control de unidades organizativas:
    https://technet.microsoft.com/en-us/library/cc732524(v=ws.11).aspx


    Desiderio Ondo || Engineer

    lunes, 6 de febrero de 2017 16:11
  • Hola Desiderio, totalmente correcta tu respuesta, salvo que la pregunta está porque no pueden usar "Escritorio Remoto para administración" :)

    O así lo entiendo yo :)

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    lunes, 6 de febrero de 2017 16:20
    Moderador
  • Buenas tardes Desiderio,

    Muchisimas gracias, eso es exactamente lo que estaba buscando, este AD no estará hasta dentro de bastante en un entorno de producción asique estoy "autorizado" para toquetear.

    Un saludo!

    lunes, 6 de febrero de 2017 16:52
  • Buenas tardes Guillermo,

    Si el acceso por RD si lo teniamos activado, quizá me expliqué un poco mal en el post.

    Con la delegación de administración en el directorio activo me soluciona mi problema.

    Muchas gracias de todas formas

    lunes, 6 de febrero de 2017 16:57
  • No hay problema, yo había entendido que el problema era el acceso por RD

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    lunes, 6 de febrero de 2017 18:46
    Moderador