Ya he estado hablando de que es la delegación de Permisos y porque deberíamos utilizarla. Ahora veremos como aplicar o mejor dicho como hacerlo. Para ello cuento con un Windows 2003 Server R2 conformando un dominio radianslabs.com, que a su vez tienen implementado un Exchange Server 2007.
Tambien poseo una OU llamada Rights Admins, que contiene un grupo llamado GSG_Rights_Admins y todos los usuarios que pertenecen a dicha OU y a su gupo. En este grupo están todos los chicos de soporte técnico que tienen como función atender los casos de soporte interno, y para lo cual deben tener permisos para desbloquear las passwords y poder cambiarlas.
Dicho permiso es el que le vamos a delegar, para ello debemos hacer lo siguiente:
1.Abrimos la consola Users and Computers (dsa.msc), seleccionamos la OU Rights Admins
2. Hacemos un clic con el botón derecho y seleccionamos Delegate Control.
3. Aparecera un Wizard, en el cual hacemos un clic en Next.
4. Seleccionamos el grupo GSG_Right_Admins hacemos un clic en OK, y en Next.
5. Seleccionamos Delegate the following common tasks, dentro de ahi seleccionamos Reset user password and force password change at next logon, y hacemos un clic en Next. Notemos que si queremos podemos generar nuestra propia configuracion si seleccionamos Create a custom task to delegate.
6. Hacemos un clic en Finish y listo.
Espero que les sea de utilidad. Saludos, Roberto Di’Lello.
Hola, primero lo de ley. Muchas gracias por tus aportaciones conocí tu página en el momento más oportuno.
Por otro lado me gustaría mucho que me ayudaras para saber cuales son los permisos que debo de delegar para que el equipo de colaboradores que tengo en soporte puedan administrar totalmente los equipos locales y que no puedan loguearse al servidor de dominio. Es decir:
No me interesa que pueda cambiar políticas, ni resetear contraseñas ni nada por el lestilo, lo único que me interesa es que controlen o puedan modifica al 100% los equipos de nuestros usuarios. Si los con figuro como administradores de dominio hacen lo que yo quiero pero con este usuario se pueden meter al servidor de dominio y si los configuro como doman users ya no entran a dominio pero no pueden instalar programas ni impresoras porque les pide contraseña. He intentado ponerlos como administradores locales el inconveniente aquí es que tenemos muchas computadoras y no me daría abasto haciendo esto.
El servidor que tengo es un windows server 8 y está en inglés.
En verdad muchas gracias por tu apoyo y que Dios te siga bendiciendo
Daniel Sanchez, disculpa mi demora en contestar pero estuve medio complicado con los tiempos.
Mira, no se si hay un error de tipeo o no. Si es windows server 8, no hay mucho que podamos hacer ya que esta en Beta y todo lo referido a el esta bajo NDA, por lo cual no puedo decir nada.
AHora, para controlar los equipos deberia bastarte con el usuario admin local de los equipos. De ahi, que la recomendacion en una estructura de dominio todos los equipos tengan el mismo pass de admin local; para facilitar la administracion. Sino, hacerlo delegando los no se me ocurre asi de forma sencilla, pero creo que llevaria mas tiempo verificando que no tenga permisos extras.
Aprovecho la oportunidad para agradecerte por participar del blog y ayudar a que siga creciendo; y te pido que nos ayudes a difundirlo con tus amigos y contactos! Te cuento que hay mucho material en el. Te invito a que veas los labs, videos, tutoriales, notas. Si querés buscar un tema o necesitas ayuda, tenés la solapa AYUDA donde explico un poco como hacerlo, sino también tenés el buscador de google.
Espero te sean de utilidad. Buen comienzo de año. Saludos!