¿Cómo delegar el control en Active Directory? – 2xsoftware

@2xsoftware.e

La función de control de delegación en Active Directory le permite otorgar a los usuarios que no son administradores los permisos para realizar algunas acciones administrativas. Por ejemplo, se puede usar para permitir que el equipo de soporte cree usuarios en AD y restablezca las contraseñas sin tener que otorgarles los derechos de administrador del dominio.

La delegación de permisos en AD se basa en el concepto de unidades organizativas. En la mayoría de los casos, en lugar de delegar permisos a un objeto de AD específico (como un usuario o una computadora), los permisos se delegan a toda la unidad organizativa.

Antes de delegar permisos de Active Directory, debe crear la estructura organizativa correcta en su directorio. Por ejemplo, si su empresa tiene varias sucursales en diferentes estados y ciudades, es posible que desee crear la siguiente estructura de unidad organizativa.

Hemos creado unidades organizativas separadas para cada una de las ciudades, a las que puede delegar permisos:

  • administradores
  • Ordenadores
  • Grupos
  • Usuarios

Ahora vamos a delegar al grupo de soporte de CA los permisos para restablecer contraseñas y desbloquear cuentas de usuario en OU=Users,OU=LosAngeles,OU=California,DC=theitbros,DC=com. Se supone que los usuarios del equipo de soporte técnico ya se han agregado al CA_Soporte_técnico grupo de seguridad.

  1. Abra el complemento Usuarios y equipos de Active Directory (ADUC);
  2. Haga clic con el botón derecho en la unidad organizativa a la que desea delegar permisos (en nuestro ejemplo, este es el Usuarios UO) y seleccione Control delegado;
    control delegado de anuncios
  3. el gráfico Asistente de delegación de control comenzará;
  4. Seleccione el grupo de usuarios al que desea otorgar privilegios (Agregar > CA_Tech_Support); mejores prácticas de control de delegación de directorio activo
  5. A continuación, debe seleccionar qué acciones desea delegar. Una lista de tareas comunes está disponible aquí. Sin embargo, ninguno de ellos es adecuado para nuestro caso. Por lo tanto, debe seleccionar Crear una tarea personalizada para delegar aquí; delegar el control para restablecer la contraseña y desbloquear cuentas de usuario
  6. En la siguiente ventana, seleccione el Solo los siguientes objetos en la carpeta opción y comprobar Objetos de usuario artículo;
    delegar control para desbloquear cuentas de usuario
  7. Luego seleccione las siguientes opciones en la lista de permisos:
    Cambiar la contraseña
    Restablecer la contraseña
    Escribir lockoutTime
    delegar control directorio activo restablecer contraseña
  8. Hacer clic Próximo. En la ventana final, puede ver la lista de objetos y permisos que desea delegar. Hacer clic Finalizar.
    cuenta de desbloqueo de control delegado del directorio activo

Los usuarios del grupo CA_Tech_Support ahora pueden desbloquear cuentas de usuario en la unidad organizativa LosAngeles si están bloqueadas por la política de bloqueo de cuentas de dominio.

Para desbloquear la cuenta de usuario en Active Directory, use la pestaña Cuentas en las propiedades del usuario en el comando ADUC o PowerShell:

Unlock-ADAccount a.jackson –Confirm

control delegado aduc

Para ver la lista resultante de permisos que ha delegado a una unidad organizativa:

  1. Abrir unidad organizativa Propiedades e ir a la Seguridad > Avanzado pestaña.
  2. Encuentre su grupo de soporte técnico en la lista > Editar;
  3. El tipo de objetos de AD a los que se delegan los permisos se muestra en la Se aplica a;
  4. Los permisos asignados se muestran en la permisos y Propiedades liza. asistente de delegación de anuncios

Si necesita revocar la delegación, simplemente elimine el grupo de seguridad de la ACL de la unidad organizativa.

También puede delegar otros derechos en AD. Por ejemplo:

Valora este artculo post

Related Posts

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *