Utilizando DSMGMT.EXE para administar los Administradores Locales de un RODC (es-ES)

Uno de los beneficios de los Controladores de Dominio de solo lectura es que los administradores locales asignados no están obligados a tener acceso completo al dominio para poder realizar acciones de administración sobre el servidor. En este artículo conoceremos y utilizaremos la herramienta que hace posible administrar estas asignaciones de derechos locales, llamada DSMGMT.EXE.

Objetivo

Este artículo tiene como objetivo mostrar el funcionamiento de la utilidad DSMGMT.EXE para:

• Agregar administradores locales.
• Eliminar administradores locales.
• Listar roles locales.

 

Alcance

El alcance de este artículo es:

• Dominio de Active Directory con Controladores de Dominio 2008 R2.
• Controlador de dominio de sólo lectura con Windows Server 2008 R2.

 

Trabajo con DSMGMT.EXE

 

Para acceder a la herramienta DSMGMT.EXE debemos:

• Ingresar al RODC con derechos administrativos.
• Abrir un CMD.
• Tipear DSMGMT.EXE.

Realizaremos las siguientes acciones:

• Agregar una cuenta a un rol local.
• Listar roles.
• Eliminar una cuenta de un rol local.

 

Agregar una cuenta a un Rol Local

 

Para configurar una cuenta como administrador local debemos:

1. Ingresamos Local Roles y presionamos ENTER.
2. Ingresamos Add <DOMAIN>\user> <rol>.

Por ejemplo: Add DILUX\pdiloreto Administrators suponiendo que:

• DILUX es el dominio.
• Pdiloreto es el usuario.
• Administrators es el rol.

 

Listar Roles

 

1. Ingresamos Local Roles.
2. Ingresamos List Roles.

Para conocer el contenido, es decir los usuarios, de un rol específico, debemos hacer lo siguiente:

1. Ingresamos Local Roles.
2. Ingresamos Show Role <rol>

Por ejemplo: Show Role Administrators suponiendo que:

• Administrators es el rol.

 

Eliminar una cuenta de un Rol Local

 

Para eliminar una cuenta como administrador local debemos:

1. Ingresamos Local Roles y presionamos ENTER.
2. Ingresamos Remove <DOMAIN>\user> <rol>.

Por ejemplo: Remove DILUX\pdiloreto Administrators suponiendo que:

• DILUX es el dominio.
• Pdiloreto es el usuario.
• Administrators es el rol.

 

Referencias y Links

Referencias oficiales de Microsoft:

• Administrator Role Separation: http://technet.microsoft.com/en-us/library/cc753170(v=ws.10).aspx
• Administrator Role Separation Configuration: http://technet.microsoft.com/en-us/library/cc732301(v=ws.10).aspx

Artículos y tutoriales externos que amplían información:

• [TUTORIAL] Utilizando DSMGMT.EXE para administar los Administradores Locales de un RODC: http://www.tectimes.net/tip-utilizando-dsmgmt-exe-para-administar-los-administradores-locales-de-un-rodc/