Home General [HOW-TO] Active Directory Domain Services | Utilizando DSMGMT.EXE para administar los Administradores Locales de un Read-Only Domain Controller (RODC)

[HOW-TO] Active Directory Domain Services | Utilizando DSMGMT.EXE para administar los Administradores Locales de un Read-Only Domain Controller (RODC)

Posted on Posted in General No Comments

Uno de los beneficios de los Controladores de Dominio de solo lectura es que los administradores locales asignados no están obligados a tener acceso completo al dominio para poder realizar acciones de administración sobre el servidor.

En este tip veremos la herramienta que hace posible administrar estas asignaciones de derechos, llamada DSMGMT.EXE, la cual se utiliza desde la línea de comandos CMD. Esta herramienta se corre en Controladores de Dominio de Solo Lectura (RODC) y nos provee una vía muy simple de administración de permisos locales.

 

[toc]

 

Introducción

Objetivo

El presente tip tiene como objetivo mostrar el funcionamiento de la utilidad DSMGMT.EXE para:

  • Agregar administradores locales.
  • Eliminar administradores locales.
  • Listar roles locales.

 

Audiencia

Este documento está dirigido a Consultores, Profesionales IT y personas que desarrollan tareas de Consultoría, Administración y Soporte o que simplemente están interesados en aprender nuevas cosas.

 

Comentarios y Corrección de Errores

Hemos realizado nuestro mejor esfuerzo para no cometer errores, pero al fin y al cabo somos seres humanos. Si deseás reportar algún error o darnos feedback de qué te pareció esta publicación, por favor no dejes de comunicarte con nosotros a través de correo electrónico a la siguiente dirección: info@tectimes.net.

 

Alcance

Entender cuál es el alcance de la publicación nos ayuda a tener una expectativa real de lo que encontraremos en la misma, de modo tal que quién lo lee no espere ni más ni menos de lo que encontrará.

 

Objetivo Técnico

El objetivo técnico de esta publicación es poder configurar usuarios que no sean administradores de dominio para ingresar a un servidor Domain Controller de sólo lectura (RODC) para poder realizar tareas administrativas varias, tales como: instalar updates, drivers, etc.

El requerimiento se da por finalizado cuando un usuario o grupo de usuarios puedan ser ingresados como administradores locales sin necesidad de asignar permisos de administradores de dominio.

 

Tecnologías Alcanzadas

Esta publicación puede aplicarse a:

  • Windows Server 2008 Standard.
  • Windows Server 2008 Enterprise.
  • Windows Server 2008 Datacenter.
  • Windows Server 2008 R2 Standard.
  • Windows Server 2008 R2 Enterprise.
  • Windows Server 2008 R2 Datacenter.
  • Windows Server 2012 Standard.
  • Windows Server 2012 Datacenter.
  • Active Directory Domain Services en Windows Server a partir de la versión 2008.

 

Escenario de Trabajo

Se cuenta con el siguiente escenario:

  • Un dominio de Active Directory 2008 R2.
  • Un controlador de dominio FULL Windows Server 2008 R2.
  • Un controlador de dominio Read Only Domain Controller (RODC) Windows Server 2008 R2.

 

Desarrollo

Para poder cumplir con el objetivo técnico de la publicación, contamos con la herramienta DSMGMT de Windows Servers en los RODC. Para acceder a la herramienta DSMGMT.EXE debemos:

  1. Ingresar al RODC con derechos administrativos.
  2. Abrir un CMD.
  3. Tipear DSMGMT.EXE.

 

Realizaremos las siguientes acciones:

  • Agregar una cuenta a un rol local.
  • Listar roles.
  • Eliminar una cuenta de un rol local.

 

Agregar una cuenta a un Rol Local

Para configurar una cuenta como administrador local debemos:

  1. Ingresamos Local Roles y presionamos ENTER.
  2. Ingresamos Add <DOMAIN>\<user> <rol>.

 

Por ejemplo: Add DILUX\pdiloreto Administrators suponiendo que:

  • DILUX es el dominio.
  • Pdiloreto es el usuario.
  • Administrators es el rol.

 

Listar Roles

Para conocer los roles disponibles, debemos hacer lo siguiente:

  1. Ingresamos Local Roles.
  2. Ingresamos List Roles.

 

Para conocer el contenido, es decir los usuarios, de un rol específico, debemos hacer lo siguiente:

  1. Ingresamos Local Roles.
  2. Ingresamos Show Role <rol>

 

Por ejemplo: Show Role Administrators suponiendo que:

  • Administrators es el rol.

 

Eliminar una cuenta de un Rol Local

Para eliminar una cuenta como administrador local debemos:

  1. Ingresamos Local Roles y presionamos ENTER.
  2. Ingresamos Remove <DOMAIN>\<user> <rol>.

 

Por ejemplo: Remove DILUX\pdiloreto Administrators suponiendo que:

  • DILUX es el dominio.
  • Pdiloreto es el usuario.
  • Administrators es el rol.

 

Conclusiones

Gracias a la herramienta DSMGMT.EXE podemos administrar los roles locales de un servidor RODC prmitiendo, como en el ejemplo de este TIP, dar derechos de administración local a un usuario sin darle derechos sobre el dominio afectado.

 

Referencias y Links

 

 

0 0 votes
Article Rating
About

Professor. Techie. Ice cream fan (dulce de leche). My favorite phrase: "Todos los días pueden no ser buenos ... pero hay algo bueno en todos los días". Currently I´m Engineering Manager at MODO (https://modo.com.ar), the payment solution that allows you to connect your money and your world to simplify everyday life. Modo is a payment solution in which you can send, order and pay from your mobile device in the safest, most practical and convenient way. I enjoy a lot of educational, technological talks and a good beer. If you want to talk, write me to pablodiloreto@hotmail.com.

Subscribe
Notify of
guest

0 Comments
Inline Feedbacks
View all comments