Delegar permisos de replicación a un grupo determinado que no es domain o enterprise admin.
Delegar permisos de replicación a un grupo especifico.
En esta ocasión estuve trabajando en un caso en el cual precisábamos delegar permisos en la consola de Active Directory Sites and Services a un grupo especifico que no era domain o enterprise admin. El procedimiento normal sería utilizar el asistente de delegación de Active Directory Sites And Services y dar todos los permisos que precisemos para el grupo en cuestión.
El problema que nos encontramos al hacer esto es que se respetaban todos los permisos que nosotros colocamos por ejemplo no poder crear Subnets, pero al intentar forzar la replicacion, seleccionando el servidor correspondiente, NTDS SETTINGS , haciendo botón derecho y luego Replicate Now contra el servidor que queríamos replicar recibimos el siguiente error. Vale aclarar que a este punto hemos luego de haber delegado los permisos al grupo correspondiente abierto la consola de Sites And Services utilizando Run As, e ingresando las credenciales de un usuario que pertenece al grupo ReplicationGroup que es el grupo que hemos utilizado.
Al forzar la replicación hemos recibido el siguiente error que menciona un error al sincronizar contra la particion ForestDnsZones.msft.local
Esto se debe a que precisamos tener los permisos correctos sobre la particion del Schema correspondiente en este caso ForestDnsZones , el permiso que necesitamos es Replication Syncronization
Este permiso lo podemos dar utilizando la consola de ADSIEDIT.
Solución
Bien para comenzar abriremos la consola de adsiedit ejecutando adsiedit.msc. (para eso deberemos tener instaladas las Support tools disponibles en el siguiente enlace.
Abriremos la consola de adsiedit.msc y veremos algo como lo siguiente
Por default veremos las tres particiones de Active Directory: Dominio, configuracion y Schema.
En nuestro caso vemos que el error lo está dando en ForestDnsZones por lo cual deberemos cargar esa partición para eso iremos en ADSIEDIT , haremos botón derecho y seleccionaremos Connect To
Deberemos ir a la seccion Connection Point e ingresar la primera opción.
Ahí deberemos poner el Distinguished Name de la particion ForestDnsZones el formato es el siguiente
DC = forestDnsZones, DC= msft, DC= local Donde MSFT.LOCAL es dominio.local
Ahí tendremos cargada la partición ForestDNSZones, nos pararemos en la misma y seleccionaremos Propiedades luego seleccionaremos la solapa Security donde agregaremos al grupo el cual queremos tenga el permiso de forzar la replicación, en nuestro caso ReplicationGroup
Una vez agregado iremos dentro de la solapa security a la opción Advanced seleccionaremos el grupo en nuestro caso ReplicationGroup y presionaremos Edit ahi deberemos configurar las opciones Apply onto seleccionando “This object and all child objects” y en Permissions deberemos seleccionar el permiso “Replication Synchronization” como muestra la siguiente imagen.
Este mismo procedimiento lo deberemos repetir para las particiones de Dominio , Configuración , Schema y DomainDnsZones. |
Para cargar la partición DomainDNsZones deberemos utilizar el mismo modo que con la partición de ForestDnsZones, que en nuestro ejemplo es:
DC = DomainDnsZones, DC= MSFT , DC= local
En el caso de querer dar también permisos para poder hacer Check Replication Topology deberemos dar el permiso Manage Topology en las mismas 5 particiones.
Por default el grupo Enterprise Domain Controllers, tiene los permisos Replicating Directory Changes, Replication Synchronize, y Manage Replication. Estos permisos habilitan a los miembros de este grupo a administrar la replicación del schema en el forest automáticamente. |
También aconsejo leer los siguientes documentos.
- Best Practices for Delegating Active Directory Administration
- Permissions Necessary for Monitoring Servers Using Active Directory Replication Monitor (Replmon.exe)
- Default Security of the Schema Directory Partition
Espero sea de utilidad.