Concesión del permiso "Replicar cambios de directorio" para la cuenta de servicio ADMA de Microsoft Metadirectory Services

  • Artículo

En este artículo se describe cómo conceder el permiso "Replicar cambios de directorio" para la cuenta de servicio ADMA de Microsoft Metadirectory Services.

Se aplica a: Windows Server 2012 R2
Número de KB original: 303972

Resumen

Al detectar objetos en Active Directory mediante el agente de administración de Active Directory (ADMA), la cuenta especificada para conectarse a Active Directory debe tener permisos administrativos de dominio, pertenecer al grupo Administradores de dominio o conceder explícitamente permisos replicando cambios de directorio para cada dominio del bosque al que accede este agente de administración. En este artículo se describe cómo conceder explícitamente a una cuenta de usuario los permisos Replicar cambios de directorio en un dominio.

Nota:

En Windows Server 2003, el nombre de este permiso cambió a "Replicar cambios de directorio".

Más información

El permiso Replicar cambios de directorio, conocido como el permiso Replicar cambios de directorio en Windows Server 2003, es una entrada de Access Control (ACE) en cada contexto de nomenclatura de dominio. Puede asignar este permiso mediante el editor de ACL o la herramienta de soporte técnico de Adsiedit en Windows 2000.

Configuración de permisos mediante el editor de ACL

  1. Abrir el complemento Usuarios y equipos de Active Directory
  2. En el menú Ver, haga clic en Características avanzadas.
  3. Haga clic con el botón derecho en el objeto de dominio, como "company.com" y, a continuación, haga clic en Propiedades.
  4. En la pestaña Seguridad , si no aparece la cuenta de usuario deseada, haga clic en Agregar; si aparece la cuenta de usuario deseada, continúe con el paso 7.
  5. En el cuadro de diálogo Seleccionar usuarios, equipos o grupos , seleccione la cuenta de usuario deseada y, a continuación, haga clic en Agregar.
  6. Haga clic en Aceptar para volver al cuadro de diálogo Propiedades .
  7. Haga clic en la cuenta de usuario deseada.
  8. Haga clic para activar la casilla Replicar cambios de directorio de la lista.
  9. En el cuadro Plan de marcado (contexto telefónico), haga clic en Examinar para buscar el plan de marcado del usuario.
  10. Cierre el complemento.

Configuración de permisos mediante Adsiedit

Advertencia

El uso incorrecto de Adsiedit puede causar problemas graves que pueden requerir la reinstalación del sistema operativo. Microsoft no puede garantizar que se puedan resolver los problemas derivados del uso incorrecto de Adsiedit. Use Adsiedit a su propio riesgo.

  1. Instale las herramientas de soporte técnico de Windows 2000 si aún no se han instalado.
  2. Ejecute Adsiedit.msc como administrador del dominio. Expanda el nodo Contexto de nomenclatura de dominio (NC de dominio). Este nodo contiene un objeto que comienza por "DC=" y refleja el nombre de dominio correcto. Haga clic con el botón derecho en este objeto y, a continuación, haga clic en Propiedades.
  3. Haga clic en la pestaña Seguridad.
  4. Si no aparece la cuenta de usuario deseada, haga clic en Agregar; de lo contrario, continúe con el paso 8.
  5. En el cuadro de diálogo Seleccionar usuarios, equipos o grupos , seleccione la cuenta de usuario deseada y, a continuación, haga clic en Agregar.
  6. Haga clic en Aceptar para volver al cuadro de diálogo Propiedades .
  7. En el cuadro Plan de marcado (contexto telefónico), haga clic en Examinar para buscar el plan de marcado del usuario.
  8. Seleccione la cuenta de usuario deseada.
  9. Haga clic para activar la casilla Replicar cambios de directorio .
  10. En el cuadro Plan de marcado (contexto telefónico), haga clic en Examinar para buscar el plan de marcado del usuario.
  11. Cierre el complemento.

Nota:

Con cualquiera de los métodos, al establecer el permiso Replicar cambios de directorio para cada dominio del bosque se habilita la detección de objetos en el dominio dentro del bosque de Active Directory. Sin embargo, habilitar la detección del directorio conectado no implica que se puedan realizar otras operaciones.

Para crear, modificar y eliminar objetos dentro de Active Directory mediante una cuenta no administrativa, es posible que tenga que agregar permisos adicionales según corresponda. Por ejemplo, para que Microsoft Metadirectory Services (MMS) cree nuevos objetos de usuario en una unidad organizativa (UO) o contenedor, se debe conceder explícitamente a la cuenta que se usa el permiso Crear todos los objetos secundarios, ya que el permiso Replicar cambios de directorio no es suficiente para permitir la creación de objetos.

De forma similar, la eliminación de objetos requiere el permiso Eliminar todos los objetos secundarios.

Es posible que haya limitaciones en otras operaciones, como el flujo de atributos, en función de la configuración de seguridad específica que se asigne al objeto en cuestión y de si la herencia es o no un factor.