[HOW-TO] Active Directory Domain Services | Utilizando DSMGMT.EXE para administar los Administradores Locales de un Read-Only Domain Controller (RODC)
Uno de los beneficios de los Controladores de Dominio de solo lectura es que los administradores locales asignados no están obligados a tener acceso completo al dominio para poder realizar acciones de administración sobre el servidor.
En este tip veremos la herramienta que hace posible administrar estas asignaciones de derechos, llamada DSMGMT.EXE, la cual se utiliza desde la línea de comandos CMD. Esta herramienta se corre en Controladores de Dominio de Solo Lectura (RODC) y nos provee una vía muy simple de administración de permisos locales.
[toc]
Introducción
Objetivo
El presente tip tiene como objetivo mostrar el funcionamiento de la utilidad DSMGMT.EXE para:
- Agregar administradores locales.
- Eliminar administradores locales.
- Listar roles locales.
Audiencia
Este documento está dirigido a Consultores, Profesionales IT y personas que desarrollan tareas de Consultoría, Administración y Soporte o que simplemente están interesados en aprender nuevas cosas.
Comentarios y Corrección de Errores
Hemos realizado nuestro mejor esfuerzo para no cometer errores, pero al fin y al cabo somos seres humanos. Si deseás reportar algún error o darnos feedback de qué te pareció esta publicación, por favor no dejes de comunicarte con nosotros a través de correo electrónico a la siguiente dirección: info@tectimes.net.
Alcance
Entender cuál es el alcance de la publicación nos ayuda a tener una expectativa real de lo que encontraremos en la misma, de modo tal que quién lo lee no espere ni más ni menos de lo que encontrará.
Objetivo Técnico
El objetivo técnico de esta publicación es poder configurar usuarios que no sean administradores de dominio para ingresar a un servidor Domain Controller de sólo lectura (RODC) para poder realizar tareas administrativas varias, tales como: instalar updates, drivers, etc.
El requerimiento se da por finalizado cuando un usuario o grupo de usuarios puedan ser ingresados como administradores locales sin necesidad de asignar permisos de administradores de dominio.
Tecnologías Alcanzadas
Esta publicación puede aplicarse a:
- Windows Server 2008 Standard.
- Windows Server 2008 Enterprise.
- Windows Server 2008 Datacenter.
- Windows Server 2008 R2 Standard.
- Windows Server 2008 R2 Enterprise.
- Windows Server 2008 R2 Datacenter.
- Windows Server 2012 Standard.
- Windows Server 2012 Datacenter.
- Active Directory Domain Services en Windows Server a partir de la versión 2008.
Escenario de Trabajo
Se cuenta con el siguiente escenario:
- Un dominio de Active Directory 2008 R2.
- Un controlador de dominio FULL Windows Server 2008 R2.
- Un controlador de dominio Read Only Domain Controller (RODC) Windows Server 2008 R2.
Desarrollo
Para poder cumplir con el objetivo técnico de la publicación, contamos con la herramienta DSMGMT de Windows Servers en los RODC. Para acceder a la herramienta DSMGMT.EXE debemos:
- Ingresar al RODC con derechos administrativos.
- Abrir un CMD.
- Tipear DSMGMT.EXE.
Realizaremos las siguientes acciones:
- Agregar una cuenta a un rol local.
- Listar roles.
- Eliminar una cuenta de un rol local.
Agregar una cuenta a un Rol Local
Para configurar una cuenta como administrador local debemos:
- Ingresamos Local Roles y presionamos ENTER.
- Ingresamos Add <DOMAIN>\<user> <rol>.
Por ejemplo: Add DILUX\pdiloreto Administrators suponiendo que:
- DILUX es el dominio.
- Pdiloreto es el usuario.
- Administrators es el rol.
Listar Roles
Para conocer los roles disponibles, debemos hacer lo siguiente:
- Ingresamos Local Roles.
- Ingresamos List Roles.
Para conocer el contenido, es decir los usuarios, de un rol específico, debemos hacer lo siguiente:
- Ingresamos Local Roles.
- Ingresamos Show Role <rol>
Por ejemplo: Show Role Administrators suponiendo que:
- Administrators es el rol.
Eliminar una cuenta de un Rol Local
Para eliminar una cuenta como administrador local debemos:
- Ingresamos Local Roles y presionamos ENTER.
- Ingresamos Remove <DOMAIN>\<user> <rol>.
Por ejemplo: Remove DILUX\pdiloreto Administrators suponiendo que:
- DILUX es el dominio.
- Pdiloreto es el usuario.
- Administrators es el rol.
Conclusiones
Gracias a la herramienta DSMGMT.EXE podemos administrar los roles locales de un servidor RODC prmitiendo, como en el ejemplo de este TIP, dar derechos de administración local a un usuario sin darle derechos sobre el dominio afectado.
Referencias y Links
- Administrator Role Separation: http://technet.microsoft.com/en-us/library/cc753170(v=ws.10).aspx
- Administrator Role Separation Configuration: http://technet.microsoft.com/en-us/library/cc732301(v=ws.10).aspx