Solución al problema “Acceso denegado” al agregar equipos ya existentes al dominio.
Escrito por xavixaus en February 8th, 2009
Saludos Megacracks, estoy muy contento al poder decir que he encontrado la solución a un problema que desde hace tiempo me llevaba de cabeza.
El problema es simple:
Tenemos un equipo cliente llamado (BCN-WK-1) dentro del dominio Megacrack.es.
Este equipo se corrompe (virus por ejemplo) y se ha de volver a clonar o instalar desde cero. El técnico de campo en este caso clona el equipo y al añadirlo de nuevo al dominio le aparece un mensaje de Acceso denegado. (Esto ocurre por que el objeto en Active Directory ya existe y el técnico de campo no tiene permisos para poder restablecer ese objeto)
En este caso ha de avisar al administrador del dominio para que elimine el objeto Equipo de Active Directory y el técnico de campo pueda añadir el equipo al dominio de nuevo sin problemas.
En entornos de producción por ejemplo si el equipo es crítico y “casca” de noche el técnico de campo no puede realizar su trabajo completamente sin la ayuda del administrador de dominio. El servicio queda interrumpido hasta que el administrador del dominio llega y elimina el equipo de Active Directoy, eso como he dicho antes, en un entorno de producción no se debe permitir.
La solución a este problema es:
Delegar control sobre la unidad organizativa donde residan los equipos y conceder permisos a los usuarios o miembros de un grupo específico para restablecer cuentas de equipo únicamente a objetos Equipo.
Y esto que parece tan truculento y difícil de entender se realiza de la siguiente manera:
Conectaros al controlador de dominio o a un equipo que disponga de las Herramientas Administrativas de Active Directory y ejecutar las herramientas Usuarios y Equipos de Active Directory.
Inicio –> Herramientas administrativas –> Usuarios y Equipos de Active Directory o bien Inicio –> Ejecutar –> dsa.msc
Pulsar con el botón derecho del ratón sobre la unidad organizativa donde queráis conceder los permisos y pulsar sobre Delegar control. (En este caso voy a hacerlo sobre la OU Computers que ya tengo preparada con únicamente los equipos de los usuarios, sin servidores y sin los equipos de los administradores del dominio (Esto lo hago para prevenir que puedan sin querer eliminar del dominio algún servidor)).
Pulsar Siguiente >.
Pulsar sobre Agregar… y seleccionar el grupo de usuarios al que le queráis conceder los permisos para restablecer las cuentas de los objetos computers de active directory (En este caso yo se lo voy a conceder un grupo que he creado con los usuarios que deben tener permisos llamado Operadores de equipos). Podéis añadir los grupos o usuarios que queráis.
Pulsar Siguiente >.
Marcar la opción Crear una tarea personalizada para delegar y pulsar Siguiente >.
Seleccionar la opción Sólo los siguientes objetos en la carpeta:
Marcar el objeto Equipo objetos.
Marcar las opciones Crear los objetos seleccionados en esta carpeta y Eliminar los objetos seleccionados en esta carpeta.
Ahora en el campo Permisos: marcar Restablecer contraseña, Leer y escribir Restricciones de cuenta, Escritura validada en el nombre de host DNS y Escritura validada en el nombre principal del servicio y pulsar Siguiente >.
Pulsar Finalizar.
Saludos Megacracks y espero os sirva de ayuda. (Ya me contaréis).
Artículos relacionados:
- Como crear un controlador de dominio adicional en Windows Server 2003
- Migrar dominio de Windows 2000 a Windows 2003.
- Crear un dominio en Windows 2003 Server y una zona inversa en DNS.
- Parte 1.- Como asignar GPO únicamente a objetos Workstation en AD.
- Mover Roles FSMO a un nuevo server mediante entorno gráfico.
August 21st, 2009 at 1:22 am
Megacracks , muchas gracias por estas explicaciones y soluciónes que estoy encontrando aqui , ya que todavia sigo explorando esta pagina , para mi en lo personal es la mejor en cuanto a la explicación y visualización de configuración de equipos , a mi me esta sirviendo mucho para la instalación de un DC con Windows server 2003 , fue la mejor pagina que encontre , gracias a uds. ya pude configurar y montar una red Virtual con un DC y por el momento llevo 2 equipos agregados a ese dominio (Ficticio) ya que lo estoy haciendo virtualmente.. . ahorita por el momento tengo otra duda , como instalo un fondo de pantalla y un wallpaper fijo (como un logo de una empresa por ejemplo)para todos los equipos que se van agregando al dominio..
August 26th, 2009 at 8:41 pm
Buenas juan
Ante todo muchísimas gracias por el comentario.
La solución a tu pregunta son Group Policies, o políticas de grupo, descárgate el program Group Policy Managment Console (GPMC) desde Microsoft e instalalo en tu Domain Controller, esto te ayudará a administrar mejor las políticas de grupo.
Después lo único que debes hacer es crear una política de grupo que defina que walpaper poner, (piensa que debe estar ubicado en una ruta a la que se puedan conectar todos los miembros de la organización) y luego se la asignas a una Unidad organizativa por ejemplo a ciertos usuarios directamente desde la GPMC.
Si no lo tienes claro dímelo y escribiré un artículo sobre como hacerlo, ya que de momento no tengo ninguno en el blog.
Saludos y hasta la próxima
September 14th, 2009 at 9:45 pm
Hola ,excelente documento el cual me ayudò con un problema que tenia en la empresa, ahora tengo una pregunta, como puedo hacer para que un usuario le ldelegue el derecho de cerrar conexiones que aparezcan desconectados ; solo me funciona si el usuario es del grupo administradores locales del terminal server. Mil gracias
Jose Nadim Mendez
Bucaramanga Colombia