Controladores de Dominio de Sólo Lectura (RODCs): Delegación Anticipada de Instalación y Administración (Parte 2 de 3)

Continuando la nota anterior “Controladores de Dominio de Sólo Lectura (RODCs): Preparando la Infraestructura (Parte 1 de 3)” y teniendo la infraestructura preparada ya estamos en condiciones de comenzar la demostración

En esta nota veremos cómo podemos hacer para crear una cuenta de RODC previo a su instalación, delegando en una cuenta de usuario normal la posibilidad de hacer el proceso de unión al Dominio y promoción del RODC

Además, durante este proceso delegaremos a esta cuenta de usuario privilegios de administración local del RODC

Este es un ejemplo que puede resultar muy útil cuando necesitamos instalar un RODC en un sitio remoto y no deseamos tener que trasladarnos, y al mismo tiempo permitiendo que otra persona no sólo haga el proceso sino que además luego pueda hacer el mantenimiento de la máquina

Para que quede claro: Administrador de un RODC, pero sin ningún privilegio adicional en el Dominio, será sólo un usuario más en el Dominio

Recuerdo la infraestructura que creamos en la nota anterior

 

En DC1 comenzaremos el asistente para crear anticipadamente la cuenta para el RODC, con botón derecho sobre la Unidad Organizativa “Domain Controllers” y eligiendo la opción “Pre-create a Read-only Domain Controller account …”

Marquemos la opción para que nos muestre las opciones avanzadas

Ingresamos el nombre de la máquina que será promovida a RODC

Y seleccionamos el “Site” correspondiente, que ya habíamos creado con anterioridad

Observen que se podría cambiar si no deseáramos que sea DNS o “Global Catalog”, pero la opción “RODC” está grisada y seleccionada

Como habíamos mostrado en la nota anterior “Windows Server 2012: Por Qué un RODC (Read Only Domain Controller)” podemos seleccionar qué contraseñas de usuario pueden ser replicadas a un RODC. Como es deseable que la persona que administrará el RODC pueda iniciar sesión aunque el enlace WAN al sitio central no esté conectado, debemos asegurarnos que su contraseña se almacene localmente

Por lo tanto agregaremos al grupo “Soporte Mza” para que las contraseñas de sus miembros se repliquen. Seguimos el procedimiento como se muestra

Continuando con el asistente, ahora tenemos la posibilidad de indicar que grupo o usuario tendrá privilegios administrativos sobre la máquina

En mi caso seleccionaré la cuenta de usuario correspondiente al soporte de Mendoza

Observen que ha quedado creada la correspondiente cuenta de máquina, aunque como es lógico, la muestra como no ocupada, lo esperable hasta que hagamos la configuración en la máquina RODC1

La siguiente configuración se debe hacer en RODC1. Recuerdo que la máquina debe estar en grupo de trabajo, no en Dominio, y que el usuario que utilizamos debe ser administrador local. Resumiendo, una persona que hizo la instalación, nada más

El primer paso será agregar la funcionalidad “Active Directory Domain Services” que no mostraré porque ya la hemos hecho muchísimas veces en este blog, y partiré desde el punto donde comienza la promoción a RODC

Debemos asegurarnos que esté marcada la opción de agregar un Controlador de Dominio a un Dominio existente, y a continuación seleccionar las credenciales de usuario

[NOTA] Atención que he capturado mal la siguiente pantalla :(
En las credenciales debemos ingresar las de la cuenta de usuario en quien hemos delegado la administración: “ad\mza-help”, y no las de administrador del Dominio. Se supone que esta persona (ad\mza-help) es la que hará el procedimiento

Es importante, porque de otra forma no resolverá el nombre del Dominio, que lo ingresemos en su formato DNS, y no NetBIOS

Como pueden observar en la siguiente pantalla, nos muestra que ha encontrado una cuenta de RODC a la cual por coincidencia de nombre asignará, también ha seleccionado automáticamente el “Site” correspondiente, y sólo debemos ingresar la contraseña DSRM correspondiente a esta instalacion
Podemos ver que las opciones que seleccionamos en el asistente de creación de la cuenta están configuradas y no es posible cambiarlas

Y continuamos con el asistente de promoción a RODC

Al finalizar se reinciará automáticamente

 

Comprobemos ahora que se puede iniciar sesión en RODC1 con la cuenta a la que le hemos delegados los privilegios

Por supuesto que podremos, y además como prueba que es administrador ejecutaré un CMD.EXE como administrador y no pedirá credenciales adicionales

Para verificar que se trata del usuario en cuestión ;)

Inclusive si quisiéramos demostrar sus privilegios podríamos, por ejemplo, crear una carpeta y compartirla

Y además podemos verificar que pertence al grupo local “Administrators”

En DC1 podremos ver que ahora la cuenta de máquina ya no aparece como no ocupada (puede ser necesario refrescar la consola)

 

Continuaremos en la próxima nota donde veremos el caso de promocionar el RODC2 como administradores del Dominio, sin haber creado la cuenta con anticipación, y recién luego hacer la delegación de administración

 

 

Post a comment or leave a trackback: Trackback URL.

Trackbacks

Este espacio es para comentarios sobre la nota. No es un sitio de soporte

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: