Inicio > Active Directory > Privilegios de Usuario En Active Directory

Privilegios de Usuario En Active Directory

Group-icon

Cuando hacemos la promoción de un nuevo dominio hay muchas cosas que debemos tomar en cuenta una vez que dcpromo haya finalizado…

Una de las cosas mas frecuentes que en mi experiencia se pasan por alto es la verificación de los privilegios que tienen los usuarios autenticados por ejemplo, el privilegio necesario para agregar equipos al dominio en mi opinión esta tarea debe quedarse en manos del equipo de soporte técnico en su defecto en el administrador de dominio, pero nunca en manos del usuario final, ya que al no tener conocimiento de lo que están haciendo podrían hacer algo inesperado.

En mi humilde opinión, deberíamos de delegar esta función al equipo de soporte técnico por lo que en este post veremos como hacer los cambios necesarios.

Nota: para llevar acabo esta tarea usaremos Group Policy Management y Adsiedit ambas son herramientas poderosas y también se deben manejar mucho cuidado un cambio no deseado con estas herramientas y podemos afectar todo el funcionamiento de nuestra organización AD DS, es recomendado tener un respaldo de las políticas y de nuestro ambiente antes de hacer cualquier cambio sugerido en este tutorial.

1. Editando el Default Domain Policy:

Ingresa al Group Policy Management escribiendo gpmc.msc desde la opción ejecutar, navegaremos por las opciones Forest > Domains acá seleccionamos el dominio con el que queremos trabajar y lo expandimos hasta encontrar la opción que dice Default Domain Policy luego hacemos clic derecho y seleccionamos la opción Edit.

En la nueva ventana llamada Group Policy Management Editor navegamos por las opciones Computer Configuration > Windows Settings > Security Settings > Local Policies > User Rights Assignment acá hacemos clic derecho > propiedades sobre Add Workstation to domain (a la derecha de la pantalla).

 

User Rights

En la nueva ventana llamada Add Workstation to domain Properties marcamos un check la opción Define these policy settings lo que nos habilitará la opción de agregar o remover usuarios y grupos de esta caracteristica, haciendo clic sobre Add User or Group nos desplegara la ventana clásica de búsqueda de AD DS para seleccionar el usuario o grupo de usuarios a los que les vamos a asignar este privilegio.

 

User Rights2

Bueno hasta acá le asignamos los privilegios a un usuario o grupo predeterminado para agregar maquinas al dominio, obviamente esto no excluye a los domain admin que ya por default cuentan con este privilegio.

 

2. Editando el número máximo de equipos:

En nuestro esquema existe una atributo llamado ms-DS-MachineAccountQuota con el cual controlamos el numero máximo de equipos que el usuario o grupo de usuarios al que le dimos privilegios anteriormente pueden unir a nuestro dominio.

Para editar este atributo desde el menú ejecutar digitamos adsiedit.msc y nos conectamos al default naming context y hacemos clic derecho sobre nuestro nombre de dominio seleccionando la opción de propiedades, en el tab Attribute Editor buscamos la opción que les mencione anteriormente (ms-DS-MachineAccountQuota) luego hacemos clic sobre el botón edit y ponemos el valor que deseamos permitir, por defecto es 10.

 

User Rights3

 

Con estos pasos podemos “personalizar” un poco nuestro directorio activo y así evitarnos algunos dolores de cabeza Sonrisa.

A continuación pueden encontrar mas información:

http://support.microsoft.com/kb/243327/en-us

http://technet.microsoft.com/en-us/library/dd349804(WS.10).aspx

 

Hasta la próxima !!!

  1. Marcelo
    26/08/2015 a las 11:50 am

    Excelente articulo , me sirvio para solucionar un tema muy importante
    muchas gracias

  1. No trackbacks yet.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: