Escenario:
Dominio con DCs 2003 R2 Sp2
Existe un limite de cuentas de equipo que puede crear un "Usuario autentificado" por defecto.
Al unir una maquina al dominio se crea una cuenta de equipo en la OU Computers, si los permisos sobre esta OU no se han concedido explicitamente se aplica el limite de 10 cuentas de equipo por usuario como maximo.
Este problema se presenta por ejemplo al asignar al grupo de "Opers. de Servidores" un tecnico para que pueda agregar maquinas al dominio pero no queremos delegar la administracion de su OU.
Solucion:
Existen 3 metodos segun Microsoft:
1º Crear las cuentas a priori ya que los permisos se refieren a la creacion de cuentas, no a unir equipos al dominio. Pero implica que tengamos que crear las cuentas cada vez que un TS tenga que unir una maquina al dominio.
2º Otorgar permisos para crear/eliminar objetos al grupo "Usuarios Autentificados" lo cual anula cualquier limite para crear cuentas. Siguiendo los pasos de Microsoft (por desgracia para 2000 Server no funciona, seguramente porque no se llaman exactamente igual las ACEs que hay que conceder).
3º Cambiar el limite de 10 cuentas de equipo:
Adsiedit --> Domain --> Propiedades encima de DC=Dominio,DC=org --> Editar la propiedad ms-DS-MachineAccountQuota y establecer el valor deseado.
Suscribirse a:
Enviar comentarios (Atom)
No hay comentarios:
Publicar un comentario