Uno de los beneficios de los Controladores de Dominio de solo lectura es que los administradores locales asignados no están obligados a tener acceso completo al dominio para poder realizar acciones de administración sobre el servidor. En este artículo conoceremos
y utilizaremos la herramienta que hace posible administrar estas asignaciones de derechos locales, llamada DSMGMT.EXE.
Table of Contents
Objetivo
Este artículo tiene como objetivo mostrar el funcionamiento de la utilidad DSMGMT.EXE para:
- Agregar administradores locales.
- Eliminar administradores locales.
- Listar roles locales.
Alcance
El alcance de este artículo es:
- Dominio de Active Directory con Controladores de Dominio 2008 R2.
- Controlador de dominio de sólo lectura con Windows Server 2008 R2.
Trabajo con DSMGMT.EXE
Para acceder a la herramienta DSMGMT.EXE debemos:
- Ingresar al RODC con derechos administrativos.
- Abrir un CMD.
- Tipear DSMGMT.EXE.
Realizaremos las siguientes acciones:
- Agregar una cuenta a un rol local.
- Listar roles.
- Eliminar una cuenta de un rol local.
Agregar una cuenta a un Rol Local
Para configurar una cuenta como administrador local debemos:
- Ingresamos Local Roles y presionamos ENTER.
- Ingresamos Add <DOMAIN>\<user> <rol>.
Por ejemplo: Add DILUX\pdiloreto Administrators suponiendo que:
- DILUX es el dominio.
- Pdiloreto es el usuario.
- Administrators es el rol.
Listar Roles
- Ingresamos Local Roles.
- Ingresamos List Roles.
Para conocer el contenido, es decir los usuarios, de un rol específico, debemos hacer lo siguiente:
- Ingresamos Local Roles.
- Ingresamos Show Role <rol>
Por ejemplo: Show Role Administrators suponiendo que:
- Administrators es el rol.
Eliminar una cuenta de un Rol Local
Para eliminar una cuenta como administrador local debemos:
- Ingresamos Local Roles y presionamos ENTER.
- Ingresamos Remove <DOMAIN>\<user> <rol>.
Por ejemplo: Remove DILUX\pdiloreto Administrators suponiendo que:
- DILUX es el dominio.
- Pdiloreto es el usuario.
- Administrators es el rol.
Referencias y Links
Referencias oficiales de Microsoft:
- Administrator Role Separation: http://technet.microsoft.com/en-us/library/cc753170(v=ws.10).aspx
- Administrator Role Separation Configuration: http://technet.microsoft.com/en-us/library/cc732301(v=ws.10).aspx
Artículos y tutoriales externos que amplían información:
- [TUTORIAL] Utilizando DSMGMT.EXE para administar los Administradores Locales de un RODC: http://www.tectimes.net/tip-utilizando-dsmgmt-exe-para-administar-los-administradores-locales-de-un-rodc/