none
ayuda usuarios privilegiados active directory RRS feed

  • Pregunta

  • Buenas noches.!

    Tengo una duda...acabo de instalar un AD en ws Server 2008, he creado dentro de mi árbol del AD un OU llamado USERS y dentro de éste un OU llamado TI, lo que deseo hacer es crear USUARIOS CON PRIVILEGIOS DE TODO (ADMINISTRATIVOS SIN RESTRICCIONES) dentro de la OU de TI...

    La verdad no se como hacerlo, no cuento con mucha experiencia en AD.

    Muchas Gracias.!!!!


    sábado, 19 de noviembre de 2011 6:10

Respuestas

  • Frank, "Users" no es una unidad organizativa, ni seguramente la haz creado. Está creada por omisión

    Este tipo de contenedor (Users) tiene ciertas limitaciones, como por ejemplo que no le puedes enlazar directivas. Conviene usar una Unidad Organizativa propia.

    Para darlea usuarios control total sobre todas las máquinas del dominio, simplemente hazlos pertencer al grupo Domain Admins (Administradores del Dominio)
    Ten en cuenta que no podrás limitarlos en nada luego.

     


    Guillermo Delprato - Buenos Aires, Argentina
    Visite Notas Windows Server
    MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.
    sábado, 19 de noviembre de 2011 21:08
    Moderador

Todas las respuestas

  • Hola frank,

    Dentro del propio AD existen una serie de grupos predefinidos con una serie de privilegios.

    Tienes operadores de servidores (pueden realizar tareas sobre los servidores), operadores de backup, administradores de dominio (que pueden hacer de todo en tu dominio y maquinas).

    Hay que tener mucho cuidado con dar privilegios de admin del dominio, solo a los administradores del dominio. 

    http://technet.microsoft.com/en-us/library/cc756898%28WS.10%29.aspx

    http://technet.microsoft.com/en-us/library/cc700835.aspx

     

     

     


    Salu2!, Dani Gracia - Madrid España

    MCSA/MCSE 2003 Security

    • Editado Dani Gracia sábado, 19 de noviembre de 2011 8:04
    sábado, 19 de noviembre de 2011 7:21
  • Frank, "Users" no es una unidad organizativa, ni seguramente la haz creado. Está creada por omisión

    Este tipo de contenedor (Users) tiene ciertas limitaciones, como por ejemplo que no le puedes enlazar directivas. Conviene usar una Unidad Organizativa propia.

    Para darlea usuarios control total sobre todas las máquinas del dominio, simplemente hazlos pertencer al grupo Domain Admins (Administradores del Dominio)
    Ten en cuenta que no podrás limitarlos en nada luego.

     


    Guillermo Delprato - Buenos Aires, Argentina
    Visite Notas Windows Server
    MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.
    sábado, 19 de noviembre de 2011 21:08
    Moderador
  • Muchas Gracias por sus prontas respuestas.!!! Tienen razón.!!!

    Y Guillermo muchas gracias por ser tan explícito debo crear una nueva OU y hacerlos pertenecer al grupo Domain Admins.

    Ahora tengo otra duda, cada vez que creo un usuario dentro de mi nueva OU, que por ejemplo sera llamada TI que estará dentro de otra llamada Empresa (ambas creadas), tengo que hacer pertenecer a cada usuario creado dentro del grupo Domain Admins para que tengan permisos totales, pero como haría para que cada usuario que cree dentro de TI automaticamente tenga permisos totales (es decir pertenezcan al grupo Domain Admins) sin tener que agregar usuario por usuario a dicho grupo.

    Espero puedan ayudarme.!!!

    Muchisimas Gracias de nuevo.!!!

    sábado, 19 de noviembre de 2011 22:54
  • Frank, "Users" no es una unidad organizativa, ni seguramente la haz creado. Está creada por omisión

    Este tipo de contenedor (Users) tiene ciertas limitaciones, como por ejemplo que no le puedes enlazar directivas. Conviene usar una Unidad Organizativa propia.

    Para darlea usuarios control total sobre todas las máquinas del dominio, simplemente hazlos pertencer al grupo Domain Admins (Administradores del Dominio)
    Ten en cuenta que no podrás limitarlos en nada luego.

     


    Guillermo Delprato - Buenos Aires, Argentina
    Visite Notas Windows Server
    MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    Guillermo muchas gracias por ser tan explícito debo crear una nueva OU y hacerlos pertenecer al grupo Domain Admins.

    Ahora tengo otra duda, cada vez que creo un usuario dentro de mi nueva OU, que por ejemplo sera llamada TI que estará dentro de otra llamada Empresa (ambas creadas), tengo que hacer pertenecer a cada usuario creado dentro del grupo Domain Admins para que tengan permisos totales, pero como haría para que cada usuario que cree dentro de TI automaticamente tenga permisos totales (es decir pertenezcan al grupo Domain Admins) sin tener que agregar usuario por usuario a dicho grupo.

    Espero puedan ayudarme.!!!

    Muchisimas Gracias de nuevo.!!!

    domingo, 20 de noviembre de 2011 3:46
  • Buenas noches.!Tengo una duda...acabo de instalar un AD en ws Server 2008, he creado dentro de mi árbol del AD un OU llamado USERS y dentro de éste un OU llamado TI, lo que deseo hacer es crear USUARIOS CON PRIVILEGIOS DE TODO (ADMINISTRATIVOS SIN RESTRICCIONES) dentro de la OU de TI...
    Hola Frank, entonces creaste o no creaste la OU llamada USERS? Al final vas a hacer que todos los miembros de IT sean Administradores del dominio? Creo, que les vas a dar muchos más privilegios de los que necesitarán, quizás me equivoque porque lógicamente no conozco ni tu entorno, ni las labores que deben realizar esos IT.  Si te parece coméntanos que tareas quieren que hagan, y vemos si Administradores del dominio es la mejor opción. Queda claro que al no tener muchos conocimientos de AD, no estás acostumbrado a crear o delegar tareas administrativas a través de AD, pero quizás esa sea la mejor solución antes de darles Administradores del dominio.


    Salu2!, Dani Gracia - Madrid España
    -------------------------------------------------------------------------------------------------------------
    Por favor, marca como propuesta o como respuesta la que haya solucionado tu problema.
    -------------------------------------------------------------------------------------------------------------



    • Editado Dani Gracia domingo, 20 de noviembre de 2011 9:12
    domingo, 20 de noviembre de 2011 9:10
  • Hola Dani Gracias por tu respuesta.!!!

    Mira lo que hice es volver a crear una OU llamada Empresa y dentro de esta otra llamada TI, en esta OU estarán todos los integrantes del área de Tecnologías los cuales deseo que tengan privilegios totales, al menos los de Redes y Soporte, no estoy tan seguro como hacer con los de Desarrollo (si me ayudas en esta parte).

    Ahora también tengo por ejemplo otras áreas como: RRHH, Administración, Operaciones, Marketing, etc. A los cuales por supuesto quiero y tengo que darle solo RECURSOS Y PRIVILEGIOS LIMITADOS (si no me equivoco esto lo hago por políticas cierto ?? como bloquear el panel de control, que no puedan instalar programas, que no puedan abrir la consola de windows, configurar la red, cositas asi... ????)

    Espero porfavor me puedas ayudar en estas dudas que tengo, y muchas gracias por la atención dada.

    Muchas Gracias.!!!

    domingo, 20 de noviembre de 2011 17:58
  • Para crear usuarios en forma consistente se pueden usar "usuarios plantilla", aunque espero que no tengas tantos Domain Admins como para tener que hacer eso

    Siempre tiene que haber más de una cuenta con privilegios de Domain Admin. Piensa que sucedería si tienes una única, y por el motivo que sea, por ejemplo corrupción del perfil, no pudiera iniciar sesión.
    Pero tampoco es bueno que sean muchas cuentas, ya que eso afecta la seguridad.

    El proceso de "usuarios plantilla" es sencillo, creas una cuenta de usuario por ejemplo llamada "_Admins" le pones todos los datos y membresía de grupos que necesites, pero la deshabilitas
    Luego, simplemente con botón derecho sobre la misma eliges "Copy" y completas los datos que deben ser diferentes, por ejemplo el nombre

     


    Guillermo Delprato - Buenos Aires, Argentina
    Visite Notas Windows Server
    MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.
    lunes, 21 de noviembre de 2011 10:50
    Moderador