Delegar control de unidad organizativa
Tengo un dominio en windows 2003 y necesito que ciertos usuarios que no son administradores puedan entrar por escritorio remoto al server y puedan desbloquear cuentas y restablecer contraseñas. He leído acerca de la delegación del control de unidades organizativas con el wizard que incluye el usuarios y equipos/delegar control, pero aun no entiendo como esos usuarios a los que les delegue cierto control puedan ingresar al server del AD. He leído que solo los usuarios pertenecientes a algún grupo de administradores pueden hacer login por escritorio remoto. Mi opción para eso fue hacer que los usuarios a delegarles control los incluí dentro del grupo administradores de cuentas pero con ese privilegio ellos pueden crear o eliminar cuentas y eso no quiero que lo hagan.
Me podrás sugerir algo para poder hacer esto, por favor.
Agradeciendo de antemano la atención a esta pregunta, ojala me puedas orientar.
Me podrás sugerir algo para poder hacer esto, por favor.
Agradeciendo de antemano la atención a esta pregunta, ojala me puedas orientar.
1 Respuesta
Respuesta de couso
1
Antes que nada quiero aconsejarte que nunca permitas que un usuario común ingrese al server, ya sea por escritorio remoto / terminal server o por consola. Con borrarte un par de archivos que no deben, te complican un día de trabajo.
Ahora bien, volviendo a tu consulta, lo que debes hacer es que estas personas puedan realizar lo que tu quieres desde sus respectivas PCs.
Para ello debes instalar dos herramientas en cada una de sus máquinas.
Una es el MMC 3.0. Lo descargas desde:(http://www.microsoft.com/downloads/details.aspx?displaylang=es&FamilyID=61fc1c66-06f2-463c-82a2-cf20902ffae0)
La segunda es el adminpak.msi. Este paquete se encuentra en tu servidor en la carpeta C:\Windows\Sistem32\adminpak.msi Desde ejecutar por medio del path UNC puedes realizar la instalación de forma muy sencilla.
Con esto logras que estas personas instalen en sus máquinas las herramientas administrativas de Active Directory. Una vez instaladas si querés podes borrarles todas aquellas que herramientas que no quieres que utilicen.
Luego viene la parte de la delegación. Empezaremos por delegar el permisos de desbloquear cuentas de usuarios. Sigue estos pasos que son muy simples, por más que parezca un lío.:
1. Crea la cuenta de grupo en la que desea tener el derecho a desbloquear cuenta de usuario en Usuarios y equipos de Active Directory (por ejemplo Admins de Help Desk). Luego haz miembros de este grupo a las personas a las cuales deseas delegarles esta tarea.
2. Hacé click con el botón secundario en la unidad organizativa y a continuación, hacé click en Delegar control en el menú que aparece.
3. Se debería mostrar el Asistente para delegación de control. En el cuadro de diálogo Pantalla de bienvenida, hacé click en Siguiente.
4. En el cuadro de diálogo Usuarios y grupos, haga clic en Agregar. Seleccioná el grupo en la lista en la que desea dar el derecho a desbloquear cuentas y a continuación, hacé click en Aceptar. En el cuadro de diálogo Usuarios y grupos, hacé click en Siguiente.
5. En el cuadro de diálogo Tareas para delegar, hacé click en Crear una tarea personalizada para delegar y a continuación en Siguiente.
6. En el cuadro de diálogo Tipo de objeto de Active Directory, hacé click en Sólo los objetos siguientes en la carpeta. En la lista, hacé click en User objects (una de las últimas de la lista) y a continuación en Siguiente.
7. En el cuadro de diálogo Permisos, hacé click para desactivar la casilla de verificación General y a continuación activá la casilla de verificación Property-specific. En la lista Permisos hacé click para seleccionar las casillas Read lockoutTime y Write lockoutTime y a continuación en Siguiente.
8. En el cuadro de diálogo Finalización del Asistente para delegación de control hacé click en Finalizar.
Ahora vamos a la otra delegación (permitir que restablezcan contraseñas):
1. Hacé click con el botón secundario en la unidad organizativa y a continuación hacé click en Delegar control en el menú que aparece.
2. En el cuadro de diálogo Pantalla de bienvenida, hacé click en Siguiente.
3. En el cuadro de diálogo Usuarios y grupos, haga clic en Agregar. Seleccioná el grupo en la lista en la que desea dar el derecho a restablecer ccontraseñas y a continuación hacé click en Aceptar. En el cuadro de diálogo Usuarios y grupos hacé click en Siguiente.
4. N el cuadro de diálogo Tareas para delegar, hacé click en Delegar la siguiente tarea común. En la lista de tareas hacé click para seleccionar la casilla de Reset user passwords and force password change at next logon. A continuación hacé click en Siguiente.
5. En el cuadro de diálogo Finalización del Asistente para delegación de control hacé click en Finalizar.
Este proceso lo debés repetir en todas las unidades organizativas en las cuales desees que estas personas puedan realizar estas tareas.
Luego ingresando desde las máquinas de estos nuevos "Administradores de Contraseñas" en Herramientas Administrativas - - Active Directory Users and Computers. Prueba con algún usuario de test y ya podrán blanquear contraseñas y desbloquear usuarios.
Ya saca a estos usuarios del grupo administradores de cuenta antes de que se manden una macana con algún usuario!
Ahora ayudame vos y vótame!
Si querés puedes incluirme dentro de tus expertos favoritos y cualquier duda sobre Windows 2000/2003/XP, Active Directory y otras tantas cosas, no dudes en cunsultarme. Trabajo con esto todos los días y tengo a mi cargo la administración del dominio de la empresa. Realicé el MCSE el año pasado, con lo cual tengo bastante fresca toda esta info.
Por favor mandame tus comentarios y espero que no haya sido tardía mi explicación.
Ahora bien, volviendo a tu consulta, lo que debes hacer es que estas personas puedan realizar lo que tu quieres desde sus respectivas PCs.
Para ello debes instalar dos herramientas en cada una de sus máquinas.
Una es el MMC 3.0. Lo descargas desde:(http://www.microsoft.com/downloads/details.aspx?displaylang=es&FamilyID=61fc1c66-06f2-463c-82a2-cf20902ffae0)
La segunda es el adminpak.msi. Este paquete se encuentra en tu servidor en la carpeta C:\Windows\Sistem32\adminpak.msi Desde ejecutar por medio del path UNC puedes realizar la instalación de forma muy sencilla.
Con esto logras que estas personas instalen en sus máquinas las herramientas administrativas de Active Directory. Una vez instaladas si querés podes borrarles todas aquellas que herramientas que no quieres que utilicen.
Luego viene la parte de la delegación. Empezaremos por delegar el permisos de desbloquear cuentas de usuarios. Sigue estos pasos que son muy simples, por más que parezca un lío.:
1. Crea la cuenta de grupo en la que desea tener el derecho a desbloquear cuenta de usuario en Usuarios y equipos de Active Directory (por ejemplo Admins de Help Desk). Luego haz miembros de este grupo a las personas a las cuales deseas delegarles esta tarea.
2. Hacé click con el botón secundario en la unidad organizativa y a continuación, hacé click en Delegar control en el menú que aparece.
3. Se debería mostrar el Asistente para delegación de control. En el cuadro de diálogo Pantalla de bienvenida, hacé click en Siguiente.
4. En el cuadro de diálogo Usuarios y grupos, haga clic en Agregar. Seleccioná el grupo en la lista en la que desea dar el derecho a desbloquear cuentas y a continuación, hacé click en Aceptar. En el cuadro de diálogo Usuarios y grupos, hacé click en Siguiente.
5. En el cuadro de diálogo Tareas para delegar, hacé click en Crear una tarea personalizada para delegar y a continuación en Siguiente.
6. En el cuadro de diálogo Tipo de objeto de Active Directory, hacé click en Sólo los objetos siguientes en la carpeta. En la lista, hacé click en User objects (una de las últimas de la lista) y a continuación en Siguiente.
7. En el cuadro de diálogo Permisos, hacé click para desactivar la casilla de verificación General y a continuación activá la casilla de verificación Property-specific. En la lista Permisos hacé click para seleccionar las casillas Read lockoutTime y Write lockoutTime y a continuación en Siguiente.
8. En el cuadro de diálogo Finalización del Asistente para delegación de control hacé click en Finalizar.
Ahora vamos a la otra delegación (permitir que restablezcan contraseñas):
1. Hacé click con el botón secundario en la unidad organizativa y a continuación hacé click en Delegar control en el menú que aparece.
2. En el cuadro de diálogo Pantalla de bienvenida, hacé click en Siguiente.
3. En el cuadro de diálogo Usuarios y grupos, haga clic en Agregar. Seleccioná el grupo en la lista en la que desea dar el derecho a restablecer ccontraseñas y a continuación hacé click en Aceptar. En el cuadro de diálogo Usuarios y grupos hacé click en Siguiente.
4. N el cuadro de diálogo Tareas para delegar, hacé click en Delegar la siguiente tarea común. En la lista de tareas hacé click para seleccionar la casilla de Reset user passwords and force password change at next logon. A continuación hacé click en Siguiente.
5. En el cuadro de diálogo Finalización del Asistente para delegación de control hacé click en Finalizar.
Este proceso lo debés repetir en todas las unidades organizativas en las cuales desees que estas personas puedan realizar estas tareas.
Luego ingresando desde las máquinas de estos nuevos "Administradores de Contraseñas" en Herramientas Administrativas - - Active Directory Users and Computers. Prueba con algún usuario de test y ya podrán blanquear contraseñas y desbloquear usuarios.
Ya saca a estos usuarios del grupo administradores de cuenta antes de que se manden una macana con algún usuario!
Ahora ayudame vos y vótame!
Si querés puedes incluirme dentro de tus expertos favoritos y cualquier duda sobre Windows 2000/2003/XP, Active Directory y otras tantas cosas, no dudes en cunsultarme. Trabajo con esto todos los días y tengo a mi cargo la administración del dominio de la empresa. Realicé el MCSE el año pasado, con lo cual tengo bastante fresca toda esta info.
Por favor mandame tus comentarios y espero que no haya sido tardía mi explicación.
Estimado Couso, te agradezco tu explicación tan amplia y objetiva, me ha quedado todo muy claro.
Todo ha salido a la perfección ! Tu respuesta estuvo Excelente !
Saludos Cordiales desde Mexico.
Todo ha salido a la perfección ! Tu respuesta estuvo Excelente !
Saludos Cordiales desde Mexico.
