Active Directory tiene la capacidad y la habilidad de poder
delegar en forma muy granular algunas tareas administrativas en usuarios que no
pertenezcan a alguno del los grupos administrativos irrestrictos.
En un entorno real, un soporte técnico dedica
tiempo improductivo a asistir a tickets relacionados con el restablecimiento de
contraseñas, desbloquear usuarios, crear usuarios etc. Aunque son simples,
estas actividades consumen mucho tiempo.
La Delegación Ayuda al área de Seguridad de la
información a permitir que este personal brinde el soporte necesario y sin
comprometer la seguridad. Y al mismo tiempo erradicar esa mala práctica, donde se
dan los accesos (Domain Admin u/o Administrador local). Por desconocimiento.
Para aplicar Delegate Control debemos tener presente, que
lo principal aquí es que estos permisos se darán a través de grupos de AD.
EJ:
User Account
(Create,Move,Disable).
Computers
(Create,Move,Disable).
Group (Create,Move,Disable).
Organization Unit (Create,Move,Disable).
Group Policy Owner Creator (Create and Link GPO).
Group Policy Owner Creator (Create and Link GPO).
Iniciamos Creamos el “grupo
ad.deletage_Account ”.
Este grupo sera para crear, mover y eliminar usuarios del dominio.
Click Finish, Con esto completamos el permiso de User_Account, en el proximo continuaremos con los demas ejemplo.
No hay comentarios.:
Publicar un comentario