Cómo personalizar la lista de tareas del Asistente para delegación

Resumen

En este artículo se describe cómo personalizar al Asistente para delegación editando el archivo Delegwiz.inf.

Más información

El Asistente para delegación permite a los administradores delegar el control de objetos o contenedores a otros usuarios. Este asistente está disponible en servidores y controladores de dominio de Windows 2000.

El Asistente para delegación se utiliza para establecer los permisos de acceso necesarios de Active Directory en objetos para proporcionar distintos niveles de control a los usuarios. El Asistente para delegación simplifica el proceso de conceder acceso a objetos a un usuario o grupo al permitir al administrador seleccionar de un conjunto de tareas que se pueden delegar previamente definido. La lista de tareas que se pueden delegar mediante el Asistente para delegación se mantiene en un archivo denominado Delegwiz.inf, que se crea en la carpeta \Inf < directorio de instalación de Windows >. Los administradores pueden modificar este archivo para agregar o eliminar elementos de la lista de tareas delegatable.

Agregar una tarea

Para agregar una tarea para el Asistente para delegación, debe crear una plantilla de tareas utilizando la sintaxis siguiente en el archivo Delegwiz.inf:

;--------------------------------------------------------- 
[template1]
AppliesToClasses=<comma delimited list of object types to which this
template applies; for example, if "organizationalUnit" is in the list,
this template will be shown when the Delegation Wizard is invoked on
an OU>

Description = "<task description which will appear in the wizard>"

ObjectTypes = <comma delimited list of object types whose permissions
will be adjusted; for example, "ObjectTypes = SCOPE,Obj1,Obj2,Obj3">

[template1.SCOPE]
<Permission entries for Scope>

[template1.Obj1]
<Permission entries for Obj1>

[template1.Obj2]
<permission entries for Obj2>

[template1.Obj3]
<permission entries for Obj3>
;---------------------------------------------------------

Las entradas de permisos para el tipo de objeto "Ámbito" se utilizan para controlar la seguridad en el propio contenedor.

Cada lista de entradas de permiso debe contener uno o varios de los siguientes especificadores de permiso:

RP - permisos de lectura
WP - permisos de escritura
CC - crear secundarios
DC - eliminar secundarios
GA - genérico para todo (Control total)
Permisos pueden especificarse mediante una de las sintaxis siguientes cuatro:

  • @= <permission specifiers> 
    Establece una ACE estándar en el objeto. Esto significa que todas las propiedades del objeto tendrá los permisos establecidos aquí.
  • propertyName= <permission specifiers> 
    Nombre para mostrar conjuntos de los permisos especificados en la propiedad con el LDAP especificado. Esta sintaxis se utiliza cuando se necesitan tener permisos diferentes propiedades diferentes de un objeto.
  • objectType= <permission specifiers> 
    Establece los permisos especificados en el objeto con el nombre de presentación LDAP especificado. Esta sintaxis se utiliza cuando se necesitan tener permisos diferentes objetos diferentes dentro del objeto contenedor.
  • CONTROLRIGHT= <ctrl rights display name> 
    Otorga el derecho de Control de acceso especificado para el usuario para el tipo de objeto especificado.

Plantillas de ejemplo

Las dos plantillas de ejemplo siguiente muestran la sintaxis anteriores. Estas plantillas proceden del archivo Delegwiz.inf estándar.

Ejemplo de Template10

La siguiente plantilla se aplica a los objetos de contenedores de unidad organizativa (OU) de dominio, por lo que aparecerán cuando se ejecuta el Asistente para delegación de las propiedades de los objetos de dominio o unidad organizativa. Aplicará los cambios de acceso a sí mismo (ámbito) y a los objetos inetorgperson. Los cambios se aplica a sí mismo son CC (crear secundarios) y acceso de DC (eliminar secundario). Los cambios que se aplica al objeto inetorgperson dentro del contenedor especificado están GA (control total).

;---------------------------------------------------------
[template10]
AppliesToClasses=domainDns,organizationalUnit,container

Description = "Create, delete, and manage inetorgperson accounts"

ObjectTypes = SCOPE, inetorgperson

[template10.SCOPE]
inetorgperson=CC,DC

[template10.inetorgperson]
@=GA
;---------------------------------------------------------

Ejemplo de Template11

La siguiente plantilla se aplica a dominios y unidades organizativas y se mostrará cuando se inicia el Asistente para delegación desde el menú de propiedades de esos objetos. Esto indica al Asistente para delegación para conceder al usuario especificado el control "Restablecer contraseña", punto de reunión (permisos de lectura) y WP (permisos de escritura) a objetos inetorgperson del contenedor especificado.

;---------------------------------------------------------
[template11]
AppliesToClasses=domainDns,organizationalUnit,container

Description = "Reset inetorgperson passwords and force password change at next logon"

ObjectTypes = inetorgperson

[template11.inetorgperson]
CONTROLRIGHT= "Reset Password"
pwdLastSet=RP,WP
;----------------------------------------------------------

Propiedades

Id. de artículo: 308404 - Última revisión: 22 ene. 2017 - Revisión: 1

Comentarios