Situación
La delegación de control en Active Directory se puede volver de mucha ayuda cuando se tienen que administrar una gran cantidad de usuarios de diferentes locaciones, como administradores de sistemas pueden delegar permisos a personal de IT de diferentes branches para que éstos se encarguen de administrar los usuarios pertenecientes a su ciudad. Claro, esto puede ser de gran ayuda cuando se tiene delegación de permisos y en su empresa no es necesario tener todo centralizado.
Para este ejemplo tomemos como base lo siguiente:
Mi organización está dividida en tres ciudades; Ensenada, Tijuana y Mexicali, siendo ésta última la sede principal. Cada una de ellas cuenta con personal de IT y nosotros como administradores de IT queremos delegar la responsabilidad de los usuarios al personal de IT de Tijuana y Ensenada. Para ello he creado un grupo de seguridad correspondiente a cada ciudad, IT-Tijuana, IT-Ensenada y dentro de ellos he agregado al personal correspondiente a cada ciudad, estos grupos serán mis bases para delegar el control en los OUs deseados.
Dentro de Active Directory seleccionamos el OU deseado y damos click derecho, después seleccionamos Delegate Control
Dentro del asistente seleccionamos siguiente
Aquí agregamos el grupo que he creado para el OU seleccionado, en este caso como quiero delegar el control al personal de IT de Tijuana, entonces seleccionaré el grupo IT-Tijuana.
Siguiente
En está sección podemos crear diferentes tareas a delegar, existen tareas personalizadas muy especificas que podemos delegar, pero este no será el caso.
Aquí delegaré los siguientes permisos.
1.- Crear, eliminar y administrar las cuentas de usuarios.
2.- Reiniciar el password de los usuarios y forzarlos a cambiar el password en el siguiente inición de sesión.
3.- Leer toda la información de los usuarios.
En el último paso nos dará un resumen de las tareas que delegaremos al grupo o usuarios seleccionados, si todo es correcto presionamos terminar.
En este punto los usuarios pertenecientes al grupo de IT-Tijuana serán capaces de administrar los usuarios dentro del OU de Tijuana, solo quedaría replicar los mismos pasos al OU de Ensenada.
