Introducción

En esta guía detallada se describen los pasos necesarios para delegar la administración de objetos en un contenedor de servicio Active Directory de Windows Server 2003. Al delegar la administración, puede asignar un conjunto de tareas administrativas a los usuarios y grupos correspondientes. Puede asignar tareas administrativas básicas a usuarios o grupos normales y dejar que los miembros de los grupos Administradores del dominio y Administradores de organización se ocupen de la administración de todo el dominio y todo el bosque. Mediante la delegación de la administración, puede permitir que los grupos de la organización tengan mayor control sobre sus recursos de red locales. También puede ayudar a proteger la red de daños accidentales o intencionados al limitar la pertenencia a los grupos de administrador.

Puede delegar el control administrativo en cualquier nivel de un árbol de dominio mediante la creación de unidades organizativas en un dominio y la delegación del control administrativo de unidades organizativas específicas a determinados usuarios o grupos.

Active Directory define permisos y derechos de usuario específicos que puede utilizar para delegar o restringir el control administrativo. Mediante una combinación de unidades organizativas, grupos y permisos, puede definir el ámbito administrativo más adecuado para un usuario determinado, que puede ser un dominio entero, todas las unidades organizativas de un dominio o una única unidad organizativa.

Para asignar control administrativo a un usuario o grupo puede utilizar el Asistente para delegación de control o la consola Administrador de autorización. Ambas herramientas permiten asignar derechos o permisos a usuarios o grupos específicos.

p>En este documento se ofrecen tres ejemplos de delegación en los que se utiliza el Asistente para delegación de control del complemento Usuarios y equipos de Active Directory de Microsoft Management Console (MMC). Estos ejemplos son:

Delegar el control total de una unidad organizativa.
Delegar la creación y eliminación de usuarios en una unidad organizativa.
Delegar el restablecimiento de contraseñas de todos los usuarios en una unidad organizativa.

Usar el Asistente para delegación de control

En esta sección se muestra una tarea que realizan muchas organizaciones de gran tamaño: delegar el control total de una unidad organizativa a otro grupo de administradores, con lo que el control del espacio de nombres de directorio queda repartido.

Delegar el control de una unidad organizativa

Para delegar el control total de una unidad organizativa

1. En HQ-CON-DC-01, abra Usuarios y equipos de Active Directory. La estructura debe ser similar a la que se muestra en la Figura 1

Figure 1.  The Active Directory Structure

Figura 1. La estructura de Active Directory
Ver la imagen a tamaño completo

2. En el panel de la izquierda, haga clic con el botón secundario del mouse (ratón) en la unidad organizativa Divisiones y, a continuación, haga clic en Delegar control. Aparece el Asistente para delegación de control.
3. En la página Éste es el Asistente para delegación de control, haga clic en Siguiente.
4. En la página Usuarios o grupos, haga clic en Agregar, en Opciones avanzadas y luego en Buscar ahora. Desplácese hasta AdministradoresUA, hada doble clic en AdministradoresUA y, a continuación, haga clic en Aceptar. Haga clic en Siguiente para continuar.
5. En la página Tareas que se delegarán, haga clic en Crear una tarea personalizada para delegar. (Esto permite delegar el control de todo el contenedor.) Haga clic en Siguiente.
6. En la página Tipo de objeto de Active Directory, haga clic en Esta carpeta, los objetos contenidos en la misma y la creación de nuevos objetos en esta carpeta (opción predeterminada) y luego en Siguiente.
7. En la página Permisos, haga clic en Control total para delegar todo el control. Haga clic en Siguiente y, a continuación, en Finalizar.

Comprobar los permisos otorgados

Puede revisar la configuración del control de acceso del grupo AdministradoresUA para comprobar si los permisos se han definido correctamente.

Para comprobar los permisos otorgados

1. En el complemento Usuarios y equipos de Active Directory, en el menú Ver, haga clic en Características avanzadas.
2. Desplácese y haga clic con el botón secundario del mouse en Unidad autónoma bajo la unidad organizativa Divisiones y, a continuación, haga clic en Propiedades.
3. En la ficha Seguridad, haga clic en Opciones avanzadas. En la ficha Permisos, observe las entradas de permiso que se aplican a AdministradoresUA, mostradas en la Figura 2.

Figure 2.  Verifying Permissions for AUAdmins

Figura 2. Comprobar los permisos de AdministradoresUA

4. Haga doble clic en AdministradoresUA. Se ha otorgado control total a la unidad organizativa y a todos los objetos secundarios, lo que indica que los permisos se han otorgado correctamente.
5. Cierre todas las ventanas.

Delegar la creación y eliminación de usuarios

En los pasos siguientes se muestra la delegación de tareas específicas a un grupo de seguridad autorizado. En este ejemplo, el EquipoRRHH (los miembros del departamento de recursos humanos) necesita permisos para crear o eliminar cuentas de usuario con el fin de poder realizar operaciones relacionadas con los empleados. Este tipo de delegación representa un nivel secundario de delegación en el que se asigna control sobre un subconjunto de derechos de un contenedor específico. En el ejemplo anterior, se asignaron todos los derechos para un contenedor específico.

Para delegar el control de tareas específicas al EquipoRRHH

1. En el complemento Usuarios y equipos de Active Directory, haga clic en la unidad organizativa Divisiones.
2. Haga clic con el botón secundario del mouse en Divisiones y, a continuación, haga clic en Delegar control. Aparece el Asistente para delegación de control. Haga clic en Siguiente.
3. En la página Usuarios o grupos, haga clic en Agregar, en Opciones avanzadas y luego en Buscar ahora. Desplácese hasta EquipoRRHH, haga doble clic en EquipoRRHH y, a continuación, haga clic en Aceptar. Haga clic en Siguiente para continuar.
4. En la página Tareas que se delegarán, bajo Delegar las siguientes tareas comunes, haga clic en Crear, eliminar y administrar cuentas de usuario (la primera opción) como se muestra en la Figura 3. Haga clic en Siguiente para continuar.

ctrlwi03.gif

Figura 3. Delegar tareas específicas

5. En la página de resumen, revise la configuración propuesta y, a continuación, haga clic en Finalizar.

Comprobar los permisos otorgados

Para comprobar los permisos otorgados

1. En el complemento Usuarios y equipos de Active Directory, haga clic con el botón secundario del mouse en Divisiones y, a continuación, haga clic en Propiedades.
2. En la ficha Seguridad, haga clic en Opciones avanzadas. Como se muestra en la Figura 4, se detallan los permisos que se aplican a los objetos de usuario, incluidos los permisos correspondientes del EquipoRRHH.

Figure 4.  Verifying the Permissions Granted

Figura 4. Comprobar los permisos otorgados

3. Haga doble clic en la segunda entrada de EquipoRRHH (Crear/eliminar objetos de usuario) y observe que los derechos Crear objetos de usuario y Eliminar objetos de usuario se han asignado correctamente. Observe que estos permisos se aplican a este objeto (unidad organizativa Divisiones) y a todos los objetos secundarios. Cierre todas las ventanas.

Delegar el restablecimiento de las contraseñas de todos los usuarios

En esta sección se describe una operación común de soporte técnico (restablecer las contraseñas) a partir del ejemplo anterior de delegación del control de tareas específicas. Como el restablecimiento de contraseñas es una de las solicitudes más frecuentes del departamento de soporte técnico, la delegación del control a un nivel inferior de soporte técnico puede simplificar las operaciones de dicho departamento.

Para delegar el control del restablecimiento de contraseñas al grupo Asistencia técnica

1. En el complemento Usuarios y equipos de Active Directory, haga clic en la unidad organizativa Divisiones.
2. Haga clic con el botón secundario del mouse en Divisiones y, a continuación, haga clic en Delegar control. Aparece el Asistente para delegación de control. Haga clic en Siguiente.
3. En la página Usuarios o grupos, haga clic en Agregar, en Opciones avanzadas y luego en Buscar ahora. Desplácese hasta Asistencia técnica, haga doble clic en Asistencia técnica y, a continuación, haga clic en Aceptar. Haga clic en Siguiente para continuar.
4. En la página Tareas que se delegarán, bajo Delegar las siguientes tareas comunes, haga clic en Restablecer contraseñas de usuario y forzar el cambio de contraseña en el próximo inicio de sesión como se muestra en la Figura 5. Haga clic en Siguiente para continuar.

Figure 5.  Delegating Specific Tasks

Figura 5. Delegar tareas específicas

5. En la página de resumen, revise la configuración propuesta y, a continuación, haga clic en Finalizar.

Delegar el control de tareas personalizadas

En los ejemplos anteriores se han descrito niveles distintos de delegación del control sobre contenedores de Active Directory específicos. Para la delegación de tareas específicas, se seleccionaron operaciones predefinas para la delegación. El Asistente para delegación de control proporciona un nivel adicional de detalle que permite la asignación de tareas personalizadas a usuarios o grupos específicos. En la siguiente sección, se asignarán permisos al EquipoRRHH para modificar atributos de usuario específicos con el fin de poder realizar operaciones relacionadas con los empleados.

Para asignar el control para crear y eliminar la información personal de un usuario en Active Directory a EquipoRRHH

1. En el panel de la izquierda, haga clic con el botón secundario del mouse en la unidad organizativa Divisiones y, a continuación, haga clic en Delegar control. Aparece el Asistente para delegación de control. Haga clic en Siguiente.
2. En la página Usuarios o grupos, haga clic en Agregar, en Opciones avanzadas y luego en Buscar ahora. Desplácese hasta EquipoRRHH, haga doble clic en EquipoRRHH y, a continuación, haga clic en Aceptar. Haga clic en Siguiente para continuar.
3. En la página Tareas que se delegarán, haga clic en Crear una tarea personalizada para delegar. (Esto permite delegar el control de todo el contenedor.) Haga clic en Siguiente.
4. En la pantalla Tipo de objeto de Active Directory, haga clic en Sólo los siguientes objetos en la carpeta.
5. Desplácese hasta la última entrada y active la casilla de verificación Objetos de usuario. Al final de la página Tipo de objeto de Active Directory, active las casillas de verificación Crear / Eliminar los objetos seleccionados en esta carpeta. Revise la configuración que se muestra en la Figura 6 y, después, haga clic en Siguiente para continuar.

Figure 6.  Creating a Custom Delegation

Figura 6. Crear una delegación personalizada

6. En la página Permisos, asegúrese de que General está seleccionado (opción predeterminada). Desplácese y active la casilla de verificación Leer y escribir información personal como se muestra en la Figura 7.

Nota: al activar la casilla de verificación específica de la propiedad obtendrá un nivel adicional de detalle en el nivel de atributos. Por ejemplo, si sólo desea que el EquipoRRHH sea capaz de cambiar la dirección postal de un usuario, debe seleccionar ese atributo en concreto.

ctrlwi07.gif

Figura 7. Crear una delegación personalizada mediante la asignación de derechos específicos

7. Haga clic en Siguiente para continuar.
8. En la página de resumen, revise la configuración propuesta y, a continuación, haga clic en Finalizar.
<img alt=”” width=”1″ height=”1″ src=”http://c.microsoft.com/trans_pixel.aspx”&gt;
Anuncios