Controladores de Dominio de Sólo Lectura (RODCs): Instalación y Delegación de Administración (Parte 3 de 3)

Ya llegamos a la tercera y última parte de esta serie de notas, donde a diferencia de la anterior, promocionaremos a RODC2 como Controlador de Dominio de Sólo Lectura (RODC) y luego mostraremos mediante dos métodos diferentes cómo podemos delegar privilegios administrativos sobre el máquina

Este ejemplo puede ser útil para casos donde ya tenemos instalado y configurado un RODC en un sitio remoto y debemos autorizar a una persona a efectuar tareas que requieren privilegios de administrador local, pero no dándole ningún privilegio a nivel de Dominio Active Directory

Recuerdo la infraestructura que tenemos ya creada desde la primera nota de esta serie

 

Para este ejemplo comenzaremos en DC2, que debe estar igual que en el caso anterior como servidor en grupo de trabajo, y no formando parte del Dominio, iniciando sesión como administrador local, y procederemos a instalar la funcionalidad “Active Directory Domain Services” (no mostrado, ya conocido cómo) y procedemos a la configuración

Ingresamos las credenciales de un administrador del Dominio, y luego seleccionamos el nombre del Dominio al que uniremos la máquina usando su correspondiente nombre DNS

Conviene ingresar primero las credenciales y luego el nombre del Dominio, ya que si lo hiciéramos en orden inverso, demoraría un tiempo buscando el Dominio antes de pedirnos credenciales para poder ver a cuál Dominio uniríamos la máquina

Debemos seleccionar que vamos a instalar un RODC, si no seleccionó correctamente seleccionar el “Site” adecuado, e ingresar la contraseña de DSRM específica para esta máquina

En forma análoga a como hicimos en la nota anterior, seleccionamos para que el grupo que contiene al personal de soporte para este RODC se repliquen sus contraseñas. En nuestro caso el grupo “Soporte Nqn”

Y ya queda solamente seguir el asistente de la forma habitual

 

A diferencia de lo que hicimos en la nota anterior, en este caso como no hemos hecho ninguna delegación, el usuario normal que deseamos que cumpla tareas administrativas en esta máquina, ni siquiera puede iniciar sesión, esto es por tratarse de un Controlador de Dominio

 

Por lo tanto ahora haremos la delegación para que esta cuenta (nqn-help) pueda inciar sesión localmente y cumplir tareas de administración de la máquina

Hay varias formas posibles, mostraré primero una, desde línea de comandos, y luego veremos otra utilizando la interfaz gráfica

Inciamos sesión en RODC2 como AD\Administrator

Abrimos línea de comandos como administrador y ejecutamos:

  • DSMGMT
  • LOCAL ROLES
  • ADD NQN-HELP ADMINISTRATORS
  • QUIT
  • QUIT

Ahora cerramos sesión como Administrator y tratamos de ingresar con la cuenta a la que recién hemos delegado privilegios administrativos (nqn-help)

Ahora puede, y además podemos ver y demostrar de quién se trata y los grupos a los que pertence

 

Si vamos a DC1 veremos que se ha creado la correspondiente cuenta de RODC2

 

Y vamos ahora a mostrar otro método para hacer la delegación de administración. Abramos las propiedades de RODC1 ¿recuerdan que habíamos delegado a la cuenta mza-help? observen

Se podría haber hecho la delegación desde la correspondiente ficha “Managed by” en lugar de haber usado DSMGMT para RODC2

De todas formas, algo interesante para notar, como en RODC2 la delegación la hemos hecho desde línea de comandos si miramos en las propiedades de la máquina no aparece la delegación
Desconozco si dejando pasar el suficiente tiempo, se actualiza, pero la he dejado bastante rato, y refrescado la consola y no aparece la delegación

 

Con esta nota doy por finalizada la serie sobre instalación y delegación de administración de RODCs

 

 

Post a comment or leave a trackback: Trackback URL.

Trackbacks

Este espacio es para comentarios sobre la nota. No es un sitio de soporte

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: