Utilice el control de acceso basado en funciones de la consola administrativa para determinar qué privilegios administrativos se otorgan a cuál de las cuentas de usuario de Active Directory.

Estas funciones y sus derechos asociados determinan las acciones de administración que un usuario puede realizar usando la consola de administración. La visibilidad de las características y los elementos de la consola administrativa se controla mediante la función asignada a la cuenta de Active Directory de la persona. Por ejemplo, una persona en un grupo de Active Directory con la función Administrador del departamento de soporte técnico de solo lectura puede navegar a las tarjetas de usuario para los usuarios finales y ver la información, pero no realizar operaciones en los escritorios. Una persona en un grupo de Active Directory con la función Administrador del departamento de soporte técnico puede desplazarse hasta las tarjetas de usuario y realizar operaciones de solución de problemas, así como ver la información. Debe asignar una función a los grupos apropiados de Active Directory de la organización antes de que los usuarios de ese grupo puedan iniciar sesión en segunda pantalla de inicio de sesión de la consola de administración y puedan acceder a las acciones de administración.

Requisitos previos

Precaución: Antes de asignar funciones a los grupos de Active Directory existentes, revise la membresía de la cuenta de usuario en los grupos de Active Directory para asegurarse de que solo reciba una de estas funciones. Cree grupos específicos de Active Directory si es necesario. Debido a que estas funciones se asignan en el nivel del grupo de Active Directory, pueden producirse algunos resultados inesperados si una cuenta de usuario de Active Directory pertenece a dos grupos de Active Directory y cada grupo tiene asignada una función diferente. Las funciones de la consola administrativa están visibles según el orden de prioridad:
  1. Superadministrador
  2. Administrador del departamento de soporte técnico
  3. Administrador de demostración
  4. Administrador del departamento de soporte técnico de solo lectura

Como resultado de este orden de prioridad, si una cuenta de usuario de Active Directory pertenece a ambos grupos de Active Directory ADGroup1 y ADGroup2, y se asigna la función de Superadministrador a ADGroup1 y se asigna la función Administrador del departamento de soporte técnico de solo lectura a ADGroup2, la consola administrativa muestra todas las características de acuerdo con la función Superadministrador, en lugar del subconjunto de funciones para la otra función, debido a que la función Superadministrador tiene prioridad.

Precaución: Si solo tiene un grupo de Active Directory con la función de superadministrador asignada, no elimine ese grupo del servidor de Active Directory. Si lo hace, es posible que se produzcan problemas con futuros inicios de sesión.

Procedimiento

  1. Seleccione Configuración > Funciones y permisos.
    Se mostrará la página Funciones y permisos.
    Existen cuatro funciones predeterminadas, que se muestran en la siguiente tabla.
    Función Descripción
    Superadministrador Una función obligatoria que debe asignar al menos a un grupo del dominio de Active Directory y de forma opcional a otros. Esta función otorga todos los permisos necesarios para realizar acciones de administración en la consola de administración.
    Importante:
    • Asegúrese de que la cuenta de unión al dominio que especificó al registrar el dominio de Active Directory con el primer nodo sea uno de los grupos a los que se les otorgó la función de superadministrador. Para el éxito total de las operaciones relacionadas con las imágenes y las operaciones de unión al dominio, debe concederse a esa cuenta de unión a dominio esta función de superadministrador.
    • A la cuenta de enlace de dominio se le asigna siempre la función de superadministrador, que concede todos los permisos para realizar acciones de administración en la consola administrativa. Asegúrese de que los usuarios a los que no desea conceder permisos de superadministrador no puedan acceder a dicha cuenta.
    Administrador del departamento de soporte técnico Una función que puede asignar de forma opcional a uno o varios grupos. El propósito de esta función es proporcionar acceso a la consola administrativa para que los grupos de Active Directory con esta función puedan trabajar con las características de la tarjeta de usuario para:
    • Ver el estado de las sesiones de usuario final.
    • Realizar operaciones de solución de problemas en las sesiones.
    Administrador del departamento de soporte técnico de solo lectura Una función que puede asignar de forma opcional a uno o varios grupos. El propósito de esta función es proporcionar acceso a la consola administrativa para que los grupos de Active Directory con esta función puedan trabajar con las características de la tarjeta de usuario para ver el estado de las sesiones de usuario final.
    Administrador de demostración Una función de solo lectura que puede asignar de forma opcional a uno o varios grupos. Los administradores de demostración pueden consultar la configuración y seleccionar las opciones de forma que puedan ver las adicionales en la consola, pero las selecciones no cambian las opciones de configuración.
  2. Seleccione una función en la lista Funciones y haga clic en Editar.
  3. En el cuadro de diálogo de edición, con la ayuda de la función de búsqueda de Active Directory, seleccione un grupo para la función y haga clic en Guardar.
    Importante: Estas funciones pueden asignarse solo a los grupos. La consola administrativa no proporciona una manera de elegir cuentas de usuario de Active Directory individuales para cada función.

    Este punto es fundamental para la cuenta de unión al dominio. Si la cuenta de unión al dominio que registró para el nodo inicial no está ya en uno de los grupos de Active Directory, cree un grupo de Active Directory para esa cuenta para que pueda garantizar que la función de superadministrador pueda asignarse a dicha cuenta de unión al dominio. Esa cuenta de unión al dominio debe tener la función de superadministrador.

    Nota: No agregue el mismo grupo a más de una función. Si hace esto es posible que los usuarios de ese grupo no tengan acceso total a todas las funciones esperadas.