En las grandes organizaciones, hay varios equipos de administradores de TI y especialistas de mesa de ayuda, en este caso se necesita delegación. Por ejemplo, los especialistas de la mesa de ayuda o los líderes del equipo pueden restablecer las contraseñas, los administradores del sistema pueden cambiar las membresías de los grupos y solo los administradores de los arquitectos de TI pueden administrar las unidades organizativas. Esta separación de funciones es realmente útil para las operaciones y la seguridad.
Para realizar la delegación de control, necesita permisos de administrador de dominio o tener control total sobre las unidades organizativas sobre las que desea delegar el control. Puede hacerlo de varias maneras: a través de ADUC, símbolo del sistema y otros.
Delegación vía ADUC
Para delegar el control a través de Usuarios y equipos de Active Directory (dsa.msc). Siga estos:
Ejecute dsa.msc. DerechacliMarque la unidad organizativa necesaria y seleccione Delegar control...
El Asistente de delegación de control aparece donde necesitas click “Siguiente”. Después click “Añadir ...” elige a quién quieres delegar el control y click Siguiente
En la ventana Tareas para delegar, seleccione las tareas que desea delegar, también puede crear una tarea personalizada desde cero.
Haga Clic en Siguiente y Finalizar.
Los permisos de delegación se pueden ver en las propiedades de OU en el Seguridad .
Delegación a través de la línea de comandos
Para la delegación de permisos desarrollada por Microsoft dsacls.exe. Es bueno para implementaciones con secuencias de comandos. También es bueno para mostrar los permisos actuales. Puedes usar /a parameter para mostrar todos los permisos para la unidad organizativa, por ejemplo:
Aquí podemos ver los permisos de KJenkins que hemos delegado en nuestro ejemplo anterior.
Para agregar nuevos privilegios delegados para una cuenta, debemos asignarle permisos de acuerdo con cierta sintaxis. La sintaxis consta de permisos básicos y avanzados, aquí está la lista de permisos básicos:
- GR- Lectura genérica
- GE - Ejecución genérica
- GW - escritura genérica
- GA - Control total genérico
Los permisos avanzados más populares:
- SD - Borrar
- DT - Eliminar un objeto y todos los objetos secundarios
- RC - Leer información de seguridad
- WD - Cambiar la información de seguridad
- WO - Cambiar la información del propietario
- CC - Crear objeto hijo
- DC - Eliminar objeto secundario
- RP - Leer propiedad
- WP - Escribir propiedad
Vamos a delegar a nuestro usuario KJenkins Borrar permisos para empleados OU:
Delegación a través de los grupos integrados
De forma predeterminada, hay grupos integrados, como Operadores de cuentas y Operadores de servidores, que tienen tareas administrativas en Active Directory.
Puede colocar a cualquier usuario en estos grupos y obtener permisos adicionales en el dominio sin necesidad de otorgar acceso de control total. Pero tenga en cuenta que el grupo integrado de operadores de cuentas proporciona más permisos de los que realmente se requieren. Pueden crear, modificar y eliminar todos los objetos, excepto los miembros del grupo de administradores de dominio, en todas las unidades organizativas, excepto en la unidad organizativa de controladores de dominio.
Mejores prácticas para la delegación de derechos de OU
- Cree una matriz de control de delegación para documentar todos los derechos de acceso a su AD
- Utilice siempre grupos cuando delegue permisos, no utilice cuentas de usuario individuales. Será más fácil y seguro para usted otorgar acceso a la delegación
- Evite denegar permisos porque tienen prioridad sobre los permitidos y esto puede hacer que sus listas de acceso sean demasiado complejas de administrar.
- Intente probar la configuración de delegación en busca de efectos no deseados.