Haga clic aqu para instalar Silverlight Latinoamrica Cambiar | Todos los sitios de Microsoft

Buscar en Microsoft.com:
Home | Suscrbase | Downloads | Contctenos | MSN
Bsqueda

Bsqueda Avanzada
TechNet Ir
Comunidad
Suscripcin Technet
Entrenamiento
Webcasts
Seguridad
Recursos
Medianas Empresas
Servidores
Office
Sistemas Operativos
Beta Central
Evaluacin de Software
Home TechNet de tu pas
Desarrollador
Negocios

Gua detallada de uso del Asistente para delegacin de control
Publicado: septiembre 17, aaaa
En esta gua detallada se describen los pasos necesarios para delegar la administracin de objetos en un contenedor de servicio Active Directory
de Windows Server 2003. Al delegar la administracin, puede asignar un conjunto de tareas administrativas a los usuarios y grupos
correspondientes.
En esta pgina
Introduccin
Guas detalladas
Las guas detalladas de desarrollo de Windows Server 2003 proporcionan experiencia prctica para muchas configuraciones de sistemas
operativos. Las guas comienzan estableciendo una infraestructura de red comn a travs de la instalacin de Windows Server 2003, la
configuracin de Active Directory, la instalacin de una estacin de trabajo Windows XP Professional y, por ltimo, la incorporacin de esta
estacin de trabajo a un dominio. Las guas detalladas posteriores asumen que posee esta infraestructura de red comn. Si no desea seguir esta
infraestructura de red comn, tendr que efectuar las modificaciones pertinentes mientras utiliza estas guas.
La infraestructura de red comn requiere que se sigan las instrucciones de las guas siguientes.
Una vez configurada la infraestructura de red comn, pueden utilizarse todas las guas detalladas adicionales. Tenga en cuenta que algunas guas
detalladas pueden tener requisitos previos adicionales adems de los requisitos de infraestructura de red comn. Todos los requisitos adicionales
se indicarn en la gua detallada especfica.
Microsoft Virtual PC
Las guas detalladas de desarrollo de Windows Server 2003 se pueden implementar en un entorno de laboratorio fsico o mediante tecnologas de
creacin de entornos virtuales como Microsoft Virtual PC 2004 o Microsoft Virtual Server 2005. La tecnologa de mquina virtual permite a los
usuarios ejecutar varios sistemas operativos simultneamente en un nico servidor fsico. Virtual PC 2004 y Virtual Server 2005 estn diseados
para aumentar la eficacia operativa de las pruebas y desarrollo de software, la migracin de aplicaciones heredadas y los escenarios de
consolidacin de servidores.
En las guas detalladas de desarrollo de Windows Server 2003 se asume que todas las configuraciones se realizarn en un entorno de laboratorio
fsico, aunque la mayora de ellas se pueden aplicar a un entorno virtual sin necesidad de modificarlas.
La aplicacin de los conceptos proporcionados en estas guas detalladas a un entorno virtual se escapa al alcance de este documento.
Notas importantes
Las compaas, organizaciones, productos, nombres de dominio, direcciones de correo electrnico, logotipos, personas, lugares y datos
mencionados aqu son ficticios. No se pretende indicar, ni debe deducirse ninguna asociacin con compaas, organizaciones, nombres de dominio,
direcciones de correo electrnico, logotipos, personas, lugares o datos reales.
Esta infraestructura comn est concebida para su uso en una red privada. El nombre ficticio de la compaa y el nombre DNS (Sistema de
nombres de dominio) utilizados en la infraestructura comn no estn registrados para su uso en Internet. No debe utilizar estos nombres en una
red pblica ni en Internet.
El objetivo de la estructura del servicio Active Directory para esta infraestructura comn es mostrar cmo funciona la administracin de cambios y
configuracin de Windows Server 2003 con Active Directory. No se ha diseado como un modelo para configurar Active Directory en una
organizacin.
Principio de la pgina
Introduccin
En esta gua detallada se describen los pasos necesarios para delegar la administracin de objetos en un contenedor de servicio Active Directory
de Windows Server 2003. Al delegar la administracin, puede asignar un conjunto de tareas administrativas a los usuarios y grupos
correspondientes. Puede asignar tareas administrativas bsicas a usuarios o grupos normales y dejar que los miembros de los grupos
Administradores del dominio y Administradores de organizacin se ocupen de la administracin de todo el dominio y todo el bosque. Mediante la
delegacin de la administracin, puede permitir que los grupos de la organizacin tengan mayor control sobre sus recursos de red locales.
Tambin puede ayudar a proteger la red de daos accidentales o intencionados al limitar la pertenencia a los grupos de administrador.
Puede delegar el control administrativo en cualquier nivel de un rbol de dominio mediante la creacin de unidades organizativas en un dominio y
la delegacin del control administrativo de unidades organizativas especficas a determinados usuarios o grupos.
Active Directory define permisos y derechos de usuario especficos que puede utilizar para delegar o restringir el control administrativo. Mediante
una combinacin de unidades organizativas, grupos y permisos, puede definir el mbito administrativo ms adecuado para un usuario
determinado, que puede ser un dominio entero, todas las unidades organizativas de un dominio o una nica unidad organizativa.
Para asignar control administrativo a un usuario o grupo puede utilizar el Asistente para delegacin de control o la consola Administrador de
autorizacin. Ambas herramientas permiten asignar derechos o permisos a usuarios o grupos especficos.
En este documento se ofrecen tres ejemplos de delegacin en los que se utiliza el Asistente para delegacin de control del complemento Usuarios
y equipos de Active Directory de Microsoft Management Console (MMC). Estos ejemplos son:
Requisitos previos
Requisitos de esta gua
Introduccin
Introduccin
Usar el Asistente para delegacin de control
Recursos adicionales

Parte I: Instalar Windows Server 2003 como un controlador de dominio

Parte II: Instalar una estacin de trabajo Windows XP Professional y conectarla a un dominio

Delegar el control total de una unidad organizativa.

Delegar la creacin y eliminacin de usuarios en una unidad organizativa.

Delegar el restablecimiento de contraseas de todos los usuarios en una unidad organizativa.

Parte 1: Instalar Windows Server 2003 como un controlador de dominio

Gua detallada de administracin de Active Directory

Ir
Page 1 of 5 Usar el Asistente para delegacin de control en Active Directory de Windows Server ...
30/05/2008 http://www.microsoft.com/latam/technet/productos/windows/windowsserver2003/ctrl...
Para realizar estos procedimientos, debe ser miembro del grupo Administradores del dominio o Administradores de organizacin en Active
Directory, o debe disponer de la autorizacin pertinente. Adems de implementar la infraestructura comn, debe realizar los siguientes pasos.
Principio de la pgina
Usar el Asistente para delegacin de control
En esta seccin se muestra una tarea que realizan muchas organizaciones de gran tamao: delegar el control total de una unidad organizativa a
otro grupo de administradores, con lo que el control del espacio de nombres de directorio queda repartido.
Delegar el control de una unidad organizativa
Para delegar el control total de una unidad organizativa

Agregar una nueva unidad organizativa llamada Divisiones al dominio Contoso.

Agregar tres unidades organizativas nuevas a Divisiones: Operaciones, Unidad autnoma y Grupo de productos.

Agregar un nuevo grupo de seguridad a Operaciones que se llame Asistencia tcnica.

Agregar un nuevo grupo de seguridad a Unidad autnoma que se llame AdministradoresUA.

Agregar un nuevo grupo de seguridad a Grupo de productos que se llame EquipoRRHH.

1. En HQ-CON-DC-01, abra Usuarios y equipos de Active Directory. La estructura debe ser similar a la que se muestra en la Figura 1
Figura 1. La estructura de Active Directory
Ver la imagen a tamao completo
2. En el panel de la izquierda, haga clic con el botn secundario del mouse (ratn) en la unidad organizativa Divisiones y, a continuacin,
haga clic en Delegar control. Aparece el Asistente para delegacin de control.
3. En la pgina ste es el Asistente para delegacin de control, haga clic en Siguiente.
4. En la pgina Usuarios o grupos, haga clic en Agregar, en Opciones avanzadas y luego en Buscar ahora. Desplcese hasta
AdministradoresUA, hada doble clic en AdministradoresUA y, a continuacin, haga clic en Aceptar. Haga clic en Siguiente para
continuar.
5. En la pgina Tareas que se delegarn, haga clic en Crear una tarea personalizada para delegar. (Esto permite delegar el control de
todo el contenedor.) Haga clic en Siguiente.
6. En la pgina Tipo de objeto de Active Directory, haga clic en Esta carpeta, los objetos contenidos en la misma y la creacin de
nuevos objetos en esta carpeta (opcin predeterminada) y luego en Siguiente.
7. En la pgina Permisos, haga clic en Control total para delegar todo el control. Haga clic en Siguiente y, a continuacin, en Finalizar.
Comprobar los permisos otorgados
Puede revisar la configuracin del control de acceso del grupo AdministradoresUA para comprobar si los permisos se han definido correctamente.
Para comprobar los permisos otorgados
1. En el complemento Usuarios y equipos de Active Directory, en el men Ver, haga clic en Caractersticas avanzadas.
2. Desplcese y haga clic con el botn secundario del mouse en Unidad autnoma bajo la unidad organizativa Divisiones y, a continuacin,
haga clic en Propiedades.
3. En la ficha Seguridad, haga clic en Opciones avanzadas. En la ficha Permisos, observe las entradas de permiso que se aplican a
AdministradoresUA, mostradas en la Figura 2.
Figura 2. Comprobar los permisos de AdministradoresUA
Haga doble clic en AdministradoresUA. Se ha otorgado control total a la unidad organizativa y a todos los objetos secundarios, lo que
Page 2 of 5 Usar el Asistente para delegacin de control en Active Directory de Windows Server ...
30/05/2008 http://www.microsoft.com/latam/technet/productos/windows/windowsserver2003/ctrl...
Delegar la creacin y eliminacin de usuarios
En los pasos siguientes se muestra la delegacin de tareas especficas a un grupo de seguridad autorizado. En este ejemplo, el EquipoRRHH (los
miembros del departamento de recursos humanos) necesita permisos para crear o eliminar cuentas de usuario con el fin de poder realizar
operaciones relacionadas con los empleados. Este tipo de delegacin representa un nivel secundario de delegacin en el que se asigna control
sobre un subconjunto de derechos de un contenedor especfico. En el ejemplo anterior, se asignaron todos los derechos para un contenedor
especfico.
Para delegar el control de tareas especficas al EquipoRRHH
4. indica que los permisos se han otorgado correctamente.
5. Cierre todas las ventanas.
1. En el complemento Usuarios y equipos de Active Directory, haga clic en la unidad organizativa Divisiones.
2. Haga clic con el botn secundario del mouse en Divisiones y, a continuacin, haga clic en Delegar control. Aparece el Asistente para
delegacin de control. Haga clic en Siguiente.
3. En la pgina Usuarios o grupos, haga clic en Agregar, en Opciones avanzadas y luego en Buscar ahora. Desplcese hasta
EquipoRRHH, haga doble clic en EquipoRRHH y, a continuacin, haga clic en Aceptar. Haga clic en Siguiente para continuar.
4. En la pgina Tareas que se delegarn, bajo Delegar las siguientes tareas comunes, haga clic en Crear, eliminar y administrar
cuentas de usuario (la primera opcin) como se muestra en la Figura 3. Haga clic en Siguiente para continuar.
Figura 3. Delegar tareas especficas
5. En la pgina de resumen, revise la configuracin propuesta y, a continuacin, haga clic en Finalizar.
Comprobar los permisos otorgados
Para comprobar los permisos otorgados
Delegar el restablecimiento de las contraseas de todos los usuarios
En esta seccin se describe una operacin comn de soporte tcnico (restablecer las contraseas) a partir del ejemplo anterior de delegacin del
control de tareas especficas. Como el restablecimiento de contraseas es una de las solicitudes ms frecuentes del departamento de soporte
tcnico, la delegacin del control a un nivel inferior de soporte tcnico puede simplificar las operaciones de dicho departamento.
Para delegar el control del restablecimiento de contraseas al grupo Asistencia tcnica
1. En el complemento Usuarios y equipos de Active Directory, haga clic con el botn secundario del mouse en Divisiones y, a
continuacin, haga clic en Propiedades.
2. En la ficha Seguridad, haga clic en Opciones avanzadas. Como se muestra en la Figura 4, se detallan los permisos que se aplican a los
objetos de usuario, incluidos los permisos correspondientes del EquipoRRHH.
Figura 4. Comprobar los permisos otorgados
3. Haga doble clic en la segunda entrada de EquipoRRHH (Crear/eliminar objetos de usuario) y observe que los derechos Crear objetos
de usuario y Eliminar objetos de usuario se han asignado correctamente. Observe que estos permisos se aplican a este objeto
(unidad organizativa Divisiones) y a todos los objetos secundarios. Cierre todas las ventanas.
1. En el complemento Usuarios y equipos de Active Directory, haga clic en la unidad organizativa Divisiones.
2. Haga clic con el botn secundario del mouse en Divisiones y, a continuacin, haga clic en Delegar control. Aparece el Asistente para
delegacin de control. Haga clic en Siguiente.
3. En la pgina Usuarios o grupos, haga clic en Agregar, en Opciones avanzadas y luego en Buscar ahora. Desplcese hasta
Asistencia tcnica, haga doble clic en Asistencia tcnica y, a continuacin, haga clic en Aceptar. Haga clic en Siguiente para
continuar.
En la pgina Tareas que se delegarn, bajo Delegar las siguientes tareas comunes, haga clic en Restablecer contraseas de
Page 3 of 5 Usar el Asistente para delegacin de control en Active Directory de Windows Server ...
30/05/2008 http://www.microsoft.com/latam/technet/productos/windows/windowsserver2003/ctrl...
Delegar el control de tareas personalizadas
En los ejemplos anteriores se han descrito niveles distintos de delegacin del control sobre contenedores de Active Directory especficos. Para la
delegacin de tareas especficas, se seleccionaron operaciones predefinas para la delegacin. El Asistente para delegacin de control proporciona
un nivel adicional de detalle que permite la asignacin de tareas personalizadas a usuarios o grupos especficos. En la siguiente seccin, se
asignarn permisos al EquipoRRHH para modificar atributos de usuario especficos con el fin de poder realizar operaciones relacionadas con los
empleados.
Para asignar el control para crear y eliminar la informacin personal de un usuario en Active Directory a EquipoRRHH
4. usuario y forzar el cambio de contrasea en el prximo inicio de sesin como se muestra en la Figura 5. Haga clic en Siguiente
para continuar.
Figura 5. Delegar tareas especficas
5. En la pgina de resumen, revise la configuracin propuesta y, a continuacin, haga clic en Finalizar.
1. En el panel de la izquierda, haga clic con el botn secundario del mouse en la unidad organizativa Divisiones y, a continuacin, haga clic
en Delegar control. Aparece el Asistente para delegacin de control. Haga clic en Siguiente.
2. En la pgina Usuarios o grupos, haga clic en Agregar, en Opciones avanzadas y luego en Buscar ahora. Desplcese hasta
EquipoRRHH, haga doble clic en EquipoRRHH y, a continuacin, haga clic en Aceptar. Haga clic en Siguiente para continuar.
3. En la pgina Tareas que se delegarn, haga clic en Crear una tarea personalizada para delegar. (Esto permite delegar el control de
todo el contenedor.) Haga clic en Siguiente.
4. En la pantalla Tipo de objeto de Active Directory, haga clic en Slo los siguientes objetos en la carpeta.
5. Desplcese hasta la ltima entrada y active la casilla de verificacin Objetos de usuario. Al final de la pgina Tipo de objeto de Active
Directory, active las casillas de verificacin Crear / Eliminar los objetos seleccionados en esta carpeta. Revise la configuracin que
se muestra en la Figura 6 y, despus, haga clic en Siguiente para continuar.
Figura 6. Crear una delegacin personalizada
6. En la pgina Permisos, asegrese de que General est seleccionado (opcin predeterminada). Desplcese y active la casilla de
verificacin Leer y escribir informacin personal como se muestra en la Figura 7.
Nota: al activar la casilla de verificacin especfica de la propiedad obtendr un nivel adicional de detalle en el nivel de atributos. Por
ejemplo, si slo desea que el EquipoRRHH sea capaz de cambiar la direccin postal de un usuario, debe seleccionar ese atributo en
concreto.
Page 4 of 5 Usar el Asistente para delegacin de control en Active Directory de Windows Server ...
30/05/2008 http://www.microsoft.com/latam/technet/productos/windows/windowsserver2003/ctrl...

Principio de la pgina
Recursos adicionales
Para obtener la informacin ms reciente sobre Windows Server 2003, consulte el sitio Web de Windows Server 2003 en
http://www.microsoft.com/windowsserver2003

Figura 7. Crear una delegacin personalizada mediante la asignacin de
derechos especficos
7. Haga clic en Siguiente para continuar.
8. En la pgina de resumen, revise la configuracin propuesta y, a continuacin, haga clic en Finalizar.
Principio de la pgina

Versin para impresora Enviar esta pgina Agregar a Favoritos
Administre su perfil
2008 Microsoft Corporation. Todos los derechos reservados. Pngase en contacto con nosotros | Aviso Legal | Marcas registradas | Privacidad
Page 5 of 5 Usar el Asistente para delegacin de control en Active Directory de Windows Server ...
30/05/2008 http://www.microsoft.com/latam/technet/productos/windows/windowsserver2003/ctrl...