Cuando se crea una cuenta para la instalación de un controlador de dominio de sólo lectura (RODC), se puede especificar qué usuario o grupo será responsable de asociar el servidor a la cuenta de RODC con posterioridad. Si no se especifica un usuario o un grupo, únicamente podrá asociar el servidor a la cuenta un miembro del grupo Admins. del dominio o Administradores de organización. Si especifica un usuario o un grupo para que asocie el servidor a la cuenta, éste será también responsable de administrar el RODC una vez completada la instalación. Sólo puede especificar un único usuario o grupo para este fin.

Si desea que un administrador de RODC delegado pueda almacenar contraseñas en caché en el RODC, debe agregar la cuenta de usuario de ese administrador a la lista de entidades de seguridad con permiso para almacenar en caché las contraseñas en el RODC (que también se conoce como Allowed List), junto con la cuenta del equipo que usará el administrador delegado. Si no se agrega la cuenta de equipo correspondiente a la Allowed List, el RODC no autenticará al administrador delegado cuando no esté disponible la conexión a un controlador de dominio de escritura. Para obtener más información acerca de la Allowed List y de cómo configurar la directiva de replicación de contraseñas, vea Especificación de la directiva de replicación de contraseñas.

El usuario o grupo que especifique en esta página del Asistente para la instalación de los Servicios de dominio de Active Directory tendrá permisos administrativos locales en el RODC. En la práctica, esto significa que el usuario o grupo tiene control total del servidor, por lo que, entre otras acciones, puede iniciar sesión localmente, instalar más software e instalar controladores de dispositivo. El usuario o grupo delegado también podrá quitar Servicios de dominio de Active Directory (AD DS) del RODC.

Por lo tanto, delegue la instalación y administración de los RODC sólo en los usuarios y grupos que necesiten tener esos permisos y derechos de acceso para realizar su trabajo. Además, asigne los permisos a grupos de seguridad en lugar de a usuarios individuales para simplificar el proceso de cambiar esos permisos cuando sea necesario.

Quizás desee crear un grupo de seguridad con el único fin de administrar el RODC que tiene previsto implementar y después especificar ese nombre de grupo en esta página del asistente. Entonces, ese grupo aparecerá en el campo Nombre de la ficha Administrado por de la hoja de propiedades del RODC en el complemento Usuarios y equipos de Active Directory, donde puede cambiarlo cuando desee después de la instalación.

Para buscar un usuario o grupo específico en el directorio, haga clic en Establecer y, a continuación, escriba el nombre del usuario o grupo. Recomendamos que delegue la instalación y administración del RODC en un grupo.


Tabla de contenido