1

GPO para delegar tareas administrativas del Active Directory a otros Administradores de Sistemas

Hola a tod@s.

En este post vamos a ver como delegar tareas administrativas del Active Directory a otros Administradores de Sistemas, según nuestra organización del Active Directory, que lo hemos organizado por sedes (Madrid, Barcelona, Valencia, Sevilla y Bilbao), vamos a suponer que en cada sede tenemos un Administrador de sistemas que será el encargado de administrar todo lo que se anide dentro de su Unidad Organizativa correspondiente, con esto conseguimos que cada Administrador sólo pueda configurar la parte que le corresponda.

  • Esta es nuestra estructura organizativa del Active Directory:

  • Todos los grupos y usuarios que vamos a crear lo haremos dentro de una Unidad Organizativa llamada “AdminsIT” anidada dentro de la OU “IT”:

  • Lo primero que vamos a realizar será crearnos un grupo de seguridad global llamado “AdministradoresIT”, dentro de la OU que hemos creado:

  • Ahora nos vamos a crear 5 grupos de seguridad global, uno por cada sede, esto lo haremos por si en un futuro necesitamos que más de un Administrador de Sistemas se encarguen de una sede, y simplemente con añadir el nuevo usuario administrador al grupo correspondiente podrá administrar la Unidad Organizativa que le corresponda:

  • Ahora vamos a añadir los 5 grupos de administradores creados por sedes como “Miembros” del grupo “AdministradoresIT”:

  • Una vez que hemos creado y organizado los grupos, vamos a proceder a crear las cuentas de usuario para cada Administrador de Sistemas de cada sede, esta cuenta de “Administrador de sede” no tendrá nada de especial, simplemente es una cuenta más de usuario del Active Directory, las tareas administrativas se la vamos a delegar por GPO:

  • Una vez creada las cuentas de usuario, las vamos a añadir como “Miembros” de su grupo correspondiente:

  • Ahora en cada OU que hemos organizado por sede vamos a delegar el control a los grupos de administradores que nos hemos creado, voy a mostrar como se realiza en la OU de Madrid, para las demás seguiremos el mismo proceso:

  • Se nos abre el siguiente asistente:

  • Agregamos el grupo de administradores que corresponda a la OU, en este caso “AdministradoresMad”:

  • Creamos una tarea personalizada para delegar:

  • Le indicamos que vamos a delegar el control en esta OU y todo lo que se anide dentro:

  • Ahora le asignamos los permisos que nos interesen, en este caso, le hemos asignado “Control Total” sobre la OU:

  • Finalizamos el asistente:

  • Como podemos ver los permisos para delegar el control sobre la OU, se han aplicado correctamente:

  • Para las demás sedes vamos a realizar el mismo proceso:

  • Con esto ya tendríamos organizado nuestro Active Directory para delegar tareas administrativas, ahora nos vamos a crear algunas GPOs que las vincularemos por sedes y así tendremos completadas todas las tareas necesarias para la delegación de los trabajos por sede, estas GPOs son para que los Administradores de cada sede sean “Administradores Locales” de las máquinas que están en su sede y que les tocará administrar.
  • Para la sede de Barcelona nos quedaría:

  • Para la sede de Bilbao nos quedaría:

  • Para la sede de Madrid nos quedaría:

  • Para la sede de Sevilla nos quedaría:

  • Para la sede de Valencia nos quedaría:

  • Por último, nos crearemos una GPO para que los administradores de cada sede puedan agregar equipos al dominio, esta GPO la vincularemos sobre la raíz del dominio y la colocaremos un nivel por encima de las “Default Domain Policy”:

  • Con todo esto ya tendríamos nuestra Administración de Sistemas delegadas por sedes.

 

Saludos y espero que os sea de ayuda 😉

Jose Ramon Ramos Gata

Técnico Superior STI

Un comentario

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.