COMO MODIFICAR PERMISOS DE OBJETOS DE ACTIVE DIRECTORY

COMO MODIFICAR PERMISOS DE OBJETOS DE ACTIVE DIRECTORY

Windows Server 2003 determina si un usuario est autorizado para utilizar un objeto de AD mediante la comprobacin de los permisos concedidos al propio usuario en dicho objeto, que se listan en el Discretionary Acces Control (DACL). Cuando un administrador permite o deniega los permisos de un objeto, se reconfiguran los permisos heredados desde su objeto padre. Los permisos heredados son los que se propagan a un objeto desde un objeto primario. Los permisos heredados facilitan la tarea de administrar permisos y aseguran su coherencia entre todos los objetos de un contenedor determinado. Los permisos explcitos son aquellos que se establecen de forma predeterminada cuando se crea un objeto, mediante la accin de un usuario. Para ver una lista de permisos de objetos que se pueden conceder o denegar puede dirigirse al siguiente link (ingls): http://technet.microsoft.com/en-us/library/cc728117(v=ws.10).aspx

En la siguiente prctica vamos a modificar los permisos de objeto de Active Directory. Primero vamos a quitar los permisos heredados de la unidad organizativa NombreEquipo y luego delegaremos el control de esta unidad sobre un usuario del dominio*. Para ello nos dirigimos desde el Escritorio a Start > Administrative Tools > Active Directory Users and Computers.

*NOTA:

para realizar los siguientes pasos, tiene que haber iniciado sesin como Administrador.

Albery J. Lora (2010-2952)

COMO MODIFICAR PERMISOS DE OBJETOS DE ACTIVE DIRECTORY

En Active Directory hacemos clic en el men superior View y ah hacemos clic en la opcin Advanced Features.

Ahora es posible modificar los permisos de objeto. Como digimos al principio, vamos a modificar permisos en la UO NombreEquipo. Para ello nos dirigimos a esta UO, le damos clic derecho y elegimos la opcin Properties.

Albery J. Lora (2010-2952)

COMO MODIFICAR PERMISOS DE OBJETOS DE ACTIVE DIRECTORY

All nos moveremos a la ventana Security, donde veremos diferentes grupos y usuarios. En la parte inferior de ese cuadro se muestran los permisos (heredados y explcitos) que tiene cada usuario/grupo. Para quitar los permisos heredados primero damos clic en la opcin Advanced.

En esa ventana deshabilitaremos la opcin Allow inheritable permissions from the parent to propagate to this object and all child objects y en el cuadro que aparece haga clic en Remove.

DESHABILITE ESTA OPCION

Albery J. Lora (2010-2952)

COMO MODIFICAR PERMISOS DE OBJETOS DE ACTIVE DIRECTORY

Luego hacemos clic en Apply y luego en OK dos veces para salir de las propiedades de NombreEquipo. Ahora delegaremos el control sobre esta UO a un usuario, que en este caso ser Albery Lora. Para ello hacemos clic derecho sobre esta misma unidad y seleccionamos la opcin Delegate Control.

Aparecer el Wizard de Delegacin de Control dndonos la bienvenida. Hacemos clic en Next y en el siguiente cuadro damos clic en Add para buscar al usuario al que queremos delegarle el control sobre dicha unidad organizativa.

Albery J. Lora (2010-2952)

COMO MODIFICAR PERMISOS DE OBJETOS DE ACTIVE DIRECTORY

En el cuadro de bsqueda escribimos el nombre del usuario, que en este caso es Albery Lora. Tras escribirlo hacemos clic en OK y el usuario ser agregado.

Devuelta en el Wizard de delegacin de control, hacemos clic en Next.

Albery J. Lora (2010-2952)

COMO MODIFICAR PERMISOS DE OBJETOS DE ACTIVE DIRECTORY

Ahora veremos una lista de las labores de control que le podemos delegar a Albery. En este caso en vez de elegir una de esa lista, seleccionamos la opcin inferior Create a custom task to delegate para delegarle una labor que no se encuentre en ella.

En el siguiente cuadro podemos elegir a qu objetos podr Albery modificarle los permisos. En este caso elegimos solamente account objects, o sea, las cuentas que estn en esa UO. Tambien habilitamos las 2 opciones inferiores para permitirle crear y borrar esos objetos en esta UO.

Albery J. Lora (2010-2952)

COMO MODIFICAR PERMISOS DE OBJETOS DE ACTIVE DIRECTORY

Por ultimo especificamos los permisos que delegaremos sobre Albery en esta UO. En este caso primero habilitamos la casilla General para ver los permisos generales y le hemos otorgado el permiso Full Control. Cuando termine de otorgarle permisos haga clic en Next.

Ahora el Wizard nos presentara las configuraciones que hemos escogido. Si estn todas como las deseamos, hacemos clic en Finish y listo. Albery Lora posee ahora varios permisos de control sobre la unidad organizativa NombreEquipo.

Albery J. Lora (2010-2952)