Delegar permisos de replicación a un grupo determinado que no es domain o enterprise admin.


Por Sebastian del Rio


Delegar permisos de replicación a un grupo especifico.


En esta ocasión estuve trabajando en un caso en el cual precisábamos delegar permisos en la consola de Active Directory Sites and Services a un grupo especifico que no era domain o enterprise admin. El procedimiento normal sería utilizar el asistente de delegación de Active Directory Sites And Services y dar todos los permisos que precisemos para el grupo en cuestión.


El problema que nos encontramos al hacer esto es que se respetaban todos los permisos que nosotros colocamos por ejemplo no poder crear Subnets, pero al intentar forzar la replicacion, seleccionando el servidor correspondiente, NTDS SETTINGS , haciendo botón derecho y luego Replicate Now contra el servidor que queríamos replicar recibimos el siguiente error. Vale aclarar que a este punto hemos luego de haber delegado los permisos al grupo correspondiente abierto la consola de Sites And Services utilizando Run As, e ingresando las credenciales de un usuario que pertenece al grupo ReplicationGroup que es el grupo que hemos utilizado.


Al forzar la replicación hemos recibido el siguiente error que menciona un error al sincronizar contra la particion ForestDnsZones.msft.local


clip_image002


Esto se debe a que precisamos tener los permisos correctos sobre la particion del Schema correspondiente en este caso ForestDnsZones , el permiso que necesitamos es Replication Syncronization


Este permiso lo podemos dar utilizando la consola de ADSIEDIT.


Solución


Bien para comenzar abriremos la consola de adsiedit ejecutando adsiedit.msc. (para eso deberemos tener instaladas las Support tools disponibles en el siguiente enlace.



Abriremos la consola de adsiedit.msc y veremos algo como lo siguiente


clip_image004


Por default veremos las tres particiones de Active Directory: Dominio, configuracion y Schema.


En nuestro caso vemos que el error lo está dando en ForestDnsZones por lo cual deberemos cargar esa partición para eso iremos en ADSIEDIT , haremos botón derecho y seleccionaremos Connect To


Deberemos ir a la seccion Connection Point e ingresar la primera opción.


Ahí deberemos poner el Distinguished Name de la particion ForestDnsZones el formato es el siguiente


DC = forestDnsZones, DC= msft, DC= local Donde MSFT.LOCAL es dominio.local
clip_image006


Ahí tendremos cargada la partición ForestDNSZones, nos pararemos en la misma y seleccionaremos Propiedades luego seleccionaremos la solapa Security donde agregaremos al grupo el cual queremos tenga el permiso de forzar la replicación, en nuestro caso ReplicationGroup


clip_image008


clip_image010


Una vez agregado iremos dentro de la solapa security a la opción Advanced seleccionaremos el grupo en nuestro caso ReplicationGroup y presionaremos Edit ahi deberemos configurar las opciones Apply onto seleccionando “This object and all child objects” y en Permissions deberemos seleccionar el permiso “Replication Synchronization” como muestra la siguiente imagen.


clip_image012






Este mismo procedimiento lo deberemos repetir para las particiones de Dominio , Configuración , Schema y DomainDnsZones.


Para cargar la partición DomainDNsZones deberemos utilizar el mismo modo que con la partición de ForestDnsZones, que en nuestro ejemplo es:


DC = DomainDnsZones, DC= MSFT , DC= local


En el caso de querer dar también permisos para poder hacer Check Replication Topology deberemos dar el permiso Manage Topology en las mismas 5 particiones.
clip_image015






Por default el grupo Enterprise Domain Controllers, tiene los permisos Replicating Directory Changes, Replication Synchronize, y Manage Replication. Estos permisos habilitan a los miembros de este grupo a administrar la replicación del schema en el forest automáticamente.


También aconsejo leer los siguientes documentos.



Espero sea de utilidad.


Comments (0)