Cómo conceder el permiso "Replicación de cambios de directorio" para la cuenta de servicio de ADMA de Microsoft Metadirectory Services

En este artículo se describe cómo conceder el permiso "Replicación de cambios de directorio" para la cuenta de servicio ADMA de Microsoft Metadirectory Services.

Número de KB original: 303972

Resumen

Al detectar objetos en Active Directory mediante el agente de administración de Active Directory (ADMA), la cuenta que se especifica para conectarse a Active Directory debe tener permisos administrativos de dominio, pertenecer al grupo Administradores de dominio o concederse explícitamente permisos Replicating Directory Changes para cada dominio del bosque al que accede este agente de administración. En este artículo se describe cómo conceder explícitamente a una cuenta de usuario los permisos De cambios de directorio de replicación en un dominio.

Nota:

En Windows Server 2003, el nombre de este permiso cambió a "Replicar cambios de directorio".

Más información

El permiso Replicar cambios de directorio, conocido como permiso Replicar cambios de directorio en Windows Server 2003, es una entrada de control de acceso (ACE) en cada contexto de nomenclatura de dominio. Puedes asignar este permiso mediante el editor de ACL o la herramienta de soporte técnico Adsiedit en Windows 2000.

Establecer permisos mediante el editor de ACL

1. Abra el complemento Usuarios y equipos de Active Directory
2. En el menú Ver , haga clic en Características avanzadas.
3. Haga clic con el botón derecho en el objeto de dominio, como "company.com" y, a continuación, haga clic en Propiedades.
4. En la pestaña Seguridad , si la cuenta de usuario deseada no aparece en la lista, haga clic en Agregar; si aparece la cuenta de usuario deseada, continúe con el paso 7.
5. En el cuadro de diálogo Seleccionar usuarios, equipos o grupos , seleccione la cuenta de usuario deseada y, a continuación, haga clic en Agregar.
6. Haga clic en Aceptar para volver al cuadro de diálogo Propiedades .
7. Haga clic en la cuenta de usuario deseada.
8. Haga clic para seleccionar la casilla Replicating Directory Changes (Replicar cambios de directorio) de la lista.
9. Haga clic en Aplicar y, a continuación, en Aceptar.
10. Cierre el complemento.

Configuración de permisos mediante Adsiedit

Advertencia

El uso de Adsiedit incorrectamente puede causar problemas graves que pueden requerir que vuelva a instalar el sistema operativo. Microsoft no puede garantizar que se puedan resolver los problemas resultantes del uso incorrecto de Adsiedit. Use Adsiedit en su propio riesgo.

1. Instale las herramientas de soporte técnico de Windows 2000 si aún no se han instalado.
2. Ejecute Adsiedit.msc como administrador del dominio. Expanda el nodo Contexto de nomenclatura de dominio (NC de dominio). Este nodo contiene un objeto que comienza por "DC=" y refleja el nombre de dominio correcto. Haga clic con el botón derecho en este objeto y, a continuación, haga clic en Propiedades.
3. Haga clic en la pestaña Security (Seguridad).
4. Si la cuenta de usuario deseada no aparece en la lista, haga clic en Agregar; de lo contrario, continúe con el paso 8.
5. En el cuadro de diálogo Seleccionar usuarios, equipos o grupos , seleccione la cuenta de usuario deseada y, a continuación, haga clic en Agregar.
6. Haga clic en Aceptar para volver al cuadro de diálogo Propiedades .
7. Haga clic en Aplicar y, a continuación, en Aceptar.
8. Selección de la cuenta de usuario deseada
9. Haga clic para activar la casilla Replicación de cambios de directorio.
10. Haga clic en Aplicar y, a continuación, en Aceptar.
11. Cierre el complemento.

Nota:

Con cualquiera de los métodos, al establecer el permiso Replicating Directory Changes para cada dominio del bosque, se habilita la detección de objetos en el dominio dentro del bosque de Active Directory. Sin embargo, habilitar la detección del directorio conectado no implica que se puedan realizar otras operaciones.

Para crear, modificar y eliminar objetos dentro de Active Directory mediante una cuenta no administrativa, es posible que tenga que agregar permisos adicionales según corresponda. Por ejemplo, para que Microsoft Metadirectory Services (MMS) cree nuevos objetos de usuario en una unidad organizativa (OU) o contenedor, la cuenta que se usa debe conceder explícitamente el permiso Crear todos los objetos secundarios, ya que el permiso Replicating Directory Changes no es suficiente para permitir la creación de objetos.

De forma similar, la eliminación de objetos requiere el permiso Eliminar todos los objetos secundarios.

Es posible que haya limitaciones en otras operaciones, como el flujo de atributos, en función de la configuración de seguridad específica asignada al objeto en cuestión y de si la herencia es un factor.