Cómo conceder el permiso "Replicar cambios de directorio" para la cuenta de servicio ADMA de Microsoft Metadirectory Services

En este artículo se describe cómo conceder el permiso "Replicating Directory Changes" para la cuenta de servicio ADMA de Servicios de Metadirectory de Microsoft.

Se aplica a:   Windows Server 2012 R2
Número KB original:   303972

Resumen

Al detectar objetos en Active Directory mediante el agente de administración de Active Directory (ADMA), la cuenta especificada para conectarse a Active Directory debe tener permisos administrativos de dominio, pertenecer al grupo Administradores de dominio o tener permisos de replicación de cambios de directorio explícitamente para cada dominio del bosque al que tiene acceso este agente de administración. En este artículo se describe cómo conceder explícitamente a una cuenta de usuario los permisos Replicating Directory Changes en un dominio.

Nota

En Windows Server 2003, el nombre de este permiso cambió a "Replicar cambios de directorio".

Más información

El permiso Replicar cambios de directorio, conocido como el permiso Replicar cambios de directorio en Windows Server 2003, es una entrada de control de acceso (ACE) en cada contexto de nomenclatura de dominio. Puede asignar este permiso mediante el editor de ACL o la herramienta de soporte de Adsiedit en Windows 2000.

Configuración de permisos mediante el editor de ACL

  1. Abrir el complemento Usuarios y equipos de Active Directory
  2. En el menú Ver, haga clic en Características avanzadas.
  3. Haga clic con el botón secundario en el objeto de dominio, como " company.com " y, a continuación, haga clic en Propiedades.
  4. En la pestaña Seguridad, si no aparece la cuenta de usuario deseada, haga clic en Agregar; si aparece la cuenta de usuario deseada, continúe con el paso 7.
  5. En el cuadro de diálogo Seleccionar usuarios, equipos o grupos, seleccione la cuenta de usuario deseada y, a continuación, haga clic en Agregar.
  6. Haga clic en Aceptar para volver al cuadro de diálogo Propiedades.
  7. Haga clic en la cuenta de usuario deseada.
  8. Haga clic para activar la casilla Replicar cambios de directorio de la lista.
  9. En el cuadro Plan de marcado (contexto telefónico), haga clic en Examinar para buscar el plan de marcado del usuario.
  10. Cierre el complemento.

Configuración de permisos mediante Adsiedit

Advertencia

El uso incorrecto de Adsiedit puede provocar problemas graves que pueden requerir que vuelvas a instalar el sistema operativo. Microsoft no puede garantizar que se puedan resolver los problemas resultantes del uso incorrecto de Adsiedit. Usa Adsiedit bajo tu propio riesgo.

  1. Instale las Windows de soporte técnico de Windows 2000 si aún no se han instalado.
  2. Ejecute Adsiedit.msc como administrador del dominio. Expanda el nodo Contexto de nomenclatura de dominio (NC de dominio). Este nodo contiene un objeto que comienza por "DC=" y refleja el nombre de dominio correcto. Haga clic con el botón secundario en este objeto y, a continuación, haga clic en Propiedades.
  3. Haga clic en la pestaña Seguridad.
  4. Si no aparece la cuenta de usuario deseada, haga clic en Agregar, de lo contrario, continúe con el paso 8.
  5. En el cuadro de diálogo Seleccionar usuarios, equipos o grupos, seleccione la cuenta de usuario deseada y, a continuación, haga clic en Agregar.
  6. Haga clic en Aceptar para volver al cuadro de diálogo Propiedades.
  7. En el cuadro Plan de marcado (contexto telefónico), haga clic en Examinar para buscar el plan de marcado del usuario.
  8. Seleccionar la cuenta de usuario deseada
  9. Haga clic para activar la casilla Replicar cambios de directorio.
  10. En el cuadro Plan de marcado (contexto telefónico), haga clic en Examinar para buscar el plan de marcado del usuario.
  11. Cierre el complemento.

Nota

Con cualquiera de los métodos, al establecer el permiso Replicar cambios de directorio para cada dominio del bosque, se habilita la detección de objetos en el dominio dentro del bosque de Active Directory. Sin embargo, habilitar la detección del directorio conectado no implica que se puedan realizar otras operaciones.

Para crear, modificar y eliminar objetos en Active Directory con una cuenta no administrativa, es posible que deba agregar permisos adicionales según corresponda. Por ejemplo, para que Microsoft Metadirectory Services (MMS) cree nuevos objetos de usuario en una unidad organizativa (OU) o contenedor, se debe conceder explícitamente a la cuenta que se está utilizando el permiso Crear todos los objetos secundarios, ya que el permiso Replicating Directory Changes no es suficiente para permitir la creación de objetos.

De forma similar, la eliminación de objetos requiere el permiso Eliminar todos los objetos secundarios.

Es posible que haya limitaciones en otras operaciones, como el flujo de atributos, en función de la configuración de seguridad específica que se asigne al objeto en cuestión y de si la herencia es un factor o no.