Como realizar una delegacion de permisos en nuestro Active Directory; para que nuestro grupo de Soporte pueda trabajar sin ser Administradores de Dominio {HOWTO}

delegate-iconYa he estado hablando de que es la delegación de Permisos y porque deberíamos utilizarla. Ahora veremos como aplicar o mejor dicho como hacerlo. Para ello cuento con un Windows 2003 Server R2 conformando un dominio radianslabs.com, que a su vez tienen implementado un Exchange Server 2007.

También poseo una OU llamada Rights Admins, que contiene un grupo llamado GSG_Rights_Admins y todos los usuarios que pertenecen a dicha OU y a su grupo. En este grupo están todos los chicos de soporte técnico que tienen como función atender los casos de soporte interno, y para lo cual deben tener permisos para desbloquear las passwords y poder cambiarlas.

Dicho permiso es el que le vamos a delegar, para ello debemos hacer lo siguiente:

1.Abrimos la consola Users and Computers (dsa.msc), seleccionamos la OU Rights Admins

2. Hacemos un clic con el botón derecho y seleccionamos Delegate Control.

3. Aparecerá un Wizard, en el cual hacemos un clic en Next.del_02

4. Seleccionamos el grupo GSG_Right_Admins hacemos un clic en OK, y en Next

del_03

5. Seleccionamos Delegate the following common tasks, dentro de ahí seleccionamos Reset user password and force password change at next logon, y hacemos un clic en Next. Notemos que si queremos podemos generar nuestra propia configuración si seleccionamos Create a custom task to delegate.

del_04

6. Hacemos un clic en Finish y listo.

del_05

Espero que les sea de utilidad. Saludos, Roberto Di’Lello.

Roberto Di Lello

Acerca del autor: Roberto Di Lello

Hola, soy Roberto Di Lello trabajo como Consultor Senior en Infraestructura, especializado en Tecnologias Microsoft con mas de 25 años en la industria. He sido galardonado como MS-MVP en Active Directory-Enterprise Mobility por 10 años, y actualmente soy MVP Windows Insider, ademas de poseer otras certificaciones de Microsoft. He trabajado en distintos projectos que involucran Migraciones, Implementaciones, y soporte de Active Directory y Microsoft Exchange, y en los ultimos años me he desempeñado armando equipos de trabajo para diferentes paises y areas de sistemas, he planificado a distintas migraciones a datacenters (ambiente cloud y mixtos). He tenido la oportunidad de participar como miembro del staff de Microsoft en eventos internacionales como ser TechEd NorteAmerica y MS Ignite (NA) al ser Trainer Certificado por Microsoft (MCT).

You May Also Like

11 Comments

  1. Hola muchas acias por la cantidad de informacion que compartes y de gran ayuda para los administradores de redes, todo esto de la delegacion de permisos me parece muy bien, pero todo esto funciona muy bien solo cuando la mesa de ayuda solo crea y resetea usuarios, pero como les doy permisos para los equipos ya que a veces necesitan instalar software o modificar configuraciones, y no quiero que tengan un usuario administrador del dominio

  2. Skatalitico, disculpa mi demora en contestar pero estuve en el TechEd en USA y estoy poniendome al dia con todos los mails y consultas via Web que tengo pendientes.

    Todo depende de tu arquitectura, y como la diseñaste pensando en las distintas tareas, como dividiste ous, usuarios y demas. Algunas empresas para solucionar el problema que estas diciendo, como no quieren modificar los permisos y grupos, lo que hacen es poner un usuario admin local en los equipos en donde el usuario y password esta en la imagenes de sysprep.

    Aprovecho la oportunidad para agradecerte por participar del blog y ayudar a que siga creciendo! Te pido que difundas la direccion del mismo asi podeos llegar a mas gente. Te cuento que hay mucho material en el. Te invito a que veas los labs, videos, tutoriales, notas. Si querés buscar un tema o necesitas ayuda, tenés la solapa AYUDA donde explico un poco como hacerlo, sino también tenés el buscador de google.

    Saludos y gracias!

  3. gracias por tu respuesta aunque tiene lógica no me parece algo muy útil debido a que si alguno de los miembros de la mesa de ayuda se va, se iría sabiendo la clave del del admin local que se destino para eso, dejando una falla de seguridad ya que si se deseara cambiar la clave tendría que hacerse equipo por equipo. Gracias

  4. Skatalitico, si puede ser. El tema es si se va podes cambiar facilmente el nombre del admin local, o deshabilitarlo. Sinceramente asi lo veo en varios clientes, no se me ocurre alguna alternativa. Uds, que implementaron para solucionar este problema???

  5. Hola, a ver si me pueden ayudar con esto.
    Quiero crear un grupo o politica para tecnicos.

    La plataforma que estoy utilizando es Windows server 2008 R2

    Lo que quiero es para que los tecnicos puedan desempeñar sus funciones si que tengan previlegios de administrador de dominio.

    Les agradesco todos sus comentarios.

    Saludos

  6. Andrew Danter, muchas gracias por comentar y participar. Disculpa mi demora en contestar pero estoy poniendome al dia con todos los mails y consultas via Web que tengo pendientes.

    Respecto a tu pregunta la nota describe la solucion a tu problema, por lo menos al momento de querer administrar los passwords de los usuarios de dominio. Obviamente, tambien dependera de cuales son las funciones de tus tecnicos. Tendras que evaluarla si es posible, dependiendo de lo que quieras hacer.

    Aprovecho la oportunidad para agradecerte por participar del blog y ayudar a que siga creciendo! Te pido que difundas la direccion del mismo asi podeos llegar a mas gente. Te cuento que hay mucho material en el. Te invito a que veas los labs, videos, tutoriales, notas. Si querés buscar un tema o necesitas ayuda, tenés la solapa AYUDA donde explico un poco como hacerlo, sino también tenés el buscador de google.

    Saludos y gracias!

  7. Skatalitico, como lo menciono Roberto, se puede deshabilitar la cuenta de administrador mediante alguna politica en todos los equipos, donde trabajo se esta creando esa politica, como todo, tiene sus pros y sus contras, ya que ahora el IDS debera solicitar una pass temporal de administrador por cierto tiempo, 2hrs, 4hrs, 8hrs, 24hrs, 2dias, etc, al final de esto esa password de administrador para ese equipo caducara y se tendra que solicitar una nuevamente.

    Por cierto, ando buscando la forma de instalacion silenciosa y antes crear un sistema radia que se instale desde la imagen de windows, y por medio de ese se instalen ciertos programas, dependiendo el perfil del equipo, donde se les agregara grupos de active directory y de ahi se instalaran los paquetes automaticamente, para que cuando el usuario se logge ya tenga los aplicativos de acuerdo al perfil de la maquina y del usuario, no se si me doy a entender.

    Saludos

  8. Hola,
    queria realizaros una pequeña consulta.
    Tiene que ver con la delegacion de funciones en AD.
    Nuestra organización consta de un solo dominio, de una oficina central y varias remotas.
    Pretendemos que la administración de las oficinas remotas la lleve el admnistrador de dicha oficina pero que solo tenga capacidad de administrar su oficina.

    Para cada oficina existe un site con su respectivo DC.

  9. Mario Romero, muchas gracias por comentar y participar. Disculpa mi demora en contestar pero estoy poniendome al dia con todos los mails y consultas via Web que tengo pendientes. He podido recuperar algunos mails que habia perdido con el cambio de proveedor, perdón por el error; calculo que ya no me debería volver a ocurrir. Mil disculpas! Igualmente en tu caso no se porque la dir de mail tiene un espacio en blanco que complete con un punto, espero te llegue ya lo envie a varias opciones.

    Respecto a tu pregunta, te paso una nota en donde explico el tema puntualmente: Como realizar una delegacion de permisos en nuestro Active Directory; para que nuestro grupo de Soporte pueda trabajar sin ser Administradores de Dominio {HOWTO} https://www.radians.com.ar/blog/?p=1090

    Aprovecho la oportunidad para agradecerte por participar del blog y ayudar a que siga creciendo! Te pido que difundas la direccion del mismo asi podeos llegar a mas gente. Te cuento que hay mucho material en el. Te invito a que veas los labs, videos, tutoriales, notas. Si querés buscar un tema o necesitas ayuda, tenés la solapa AYUDA donde explico un poco como hacerlo, sino también tenés el buscador de google.

    Saludos y gracias!

  10. Buenos dias Roberto Dilello.
    Primero agradecerle por la cantidad de informacion que veo en el blog, llegue a el de milagro, mas aun te confieso soy nuevo en la administracion de politicas y te cuento que no ha sido facil pero es un tema muy interesante. Ahora si mi inquietud.
    En la organizacion que trabajo tenemos muchas sedes y en cada sede hay un dominio con su respectivo DNS, DHCP y DA, mi problema es que el personal de soporte es muy imperactivo y necesito dejarles permisos para que puedan instalar y desistalar programas, ingresar equipos al dominio y copiar archivos entre perfiles cuando sea necesario y que NO Tengan acceso al servidor de dominio que no puedan ingresar por control remoto.
    Que me aconsejas, bueno y si otro compañero de redes me pueda dar una mano, les agradezco.
    Feliz Dia.

  11. Luis Hernando, disculpa mi demora en contestar pero estuve muy complicado con varios temas de trabajo, con el cambio de empresa he estado muy tapado de trabajo, pero voy respondiendo de a poco a medida que puedo y voy a responder todas las consultas.

    Respecto a tu pregunta, lo mejor y mas seguro para que no les falten permisos como tenes que permitirles hacer muchas cosas seria darles el permiso de administrador local de los equipos. Esto les permitira hacer lo que necesitan sin tener permisos sobre el dominio.

    Espero que esto conteste tu pregunta, cualquier cosa volve a escribirme. Aprovecho la oportunidad para agradecerte por participar del blog y ayudar a que siga creciendo! Te pido que difundas la direccion del sitio y mi twitter @RaDiansBlog, asi sumamos mas gente. Te invito a que veas los labs, videos, tutoriales, notas. Si querés buscar un tema o necesitas ayuda, tenés la solapa AYUDA donde explico un poco como hacerlo, sino también tenés el buscador de google.

    En 2014 debido a nuevas disposiciones de la ley Argentina debo afrontar distintos gastos para mantener el blog en funcionamiento. Si te parecio util la informacion del blog hace click en el boton “DONATE”

    Seguimos en contacto! Saludos y gracias!

Comments are closed.