Compartir derechos administrativos con un subdominio en Windows Server 2019

Cuando tenemos un dominio de Active Directory y creamos uno o varios subdominios, es muy probable que el objetivo final sea compartir recursos del dominio principal con esos subdominios.

Sin embargo, no debemos olvidar que un subdominio tendrá su propia cuenta de administrador, y que será esta la encargada de otorgar permisos a sus cuentas de usuario para  acceder a los recursos compartidos.

Por lo tanto, lo primero que deberemos hacer, será otorgar privilegios a la cuenta de administración del subdominio (o a la que estimemos oportuno) sobre los recursos del dominio principal.

El camino más lógico para llevar a cabo esta tarea puede consistir en aglutinar los recursos a compartir en un determinado grupo, que tenga los permisos sobre ellos, y luego hacer miembro de este grupo a la cuenta del subdominio o subdominios sobre los que queramos delegar esos permisos.

No obstante, para simplificar un poco las cosas, en este artículo vamos a suponer que la misma persona será responsable de administrar tanto el dominio principal como el subdominio. Así, lo más práctico será otorgar privilegios, sobre todos los recursos del dominio principal a la cuenta administradora del subdominio… Y eso es lo que te explico en este artículo.

Será en otro artículo independiente donde te mostraré como compartir un recurso concreto del dominio principal con una cuenta de usuario del subdominio.

Una vez fijados los objetivos del artículo, es hora de comenzar la tarea…

Lo primero será abrir la herramienta Usuarios y equipos de Active Directory.

Una vez en ella, elegiremos el contenedor Builtin en el panel izquierdo, para localizar el grupo Administradores en el derecho. A continuación, hacemos clic sobre él con el botón derecho del ratón.

En la ventana Propiedades, haremos clic sobre la solapa Miembros para ver las cuentas de usuarios y grupos que forman parte del grupo. Observa que, de momento, todas las cuentas que componen el grupo forman parte del dominio principal (en nuestro caso, somebooks.local).

Esto hará que aparezca la ventana de selección de objetos que ya conocemos de otros momentos.

Al hacerlo, se abrirá la ventana Ubicaciones, donde debemos desplazarnos por el árbol que nos muestra la estructura del directorio hasta localizar el subdominio.

De vuelta en la ventana de selección de objetos, comprobamos que el valor del campo Desde esta ubicación ha cambiado. Ahora, en el cuadro Escriba los nombres de objeto que desea seleccionar, escribimos las primeras letras del nombre de la cuenta que estamos buscando (la cuenta Administrador del subdominio).

Esto hará que se muestre una nueva ventana con todos los nombres encontrados, que coincidan con el texto que hayamos escrito. Como es lógico, debemos seleccionarla cuenta Administrador.

De este modo, volveremos a la ventana de selección de objetos, pero ahora se mostrará el nombre completo de la cuenta. Observa que también aparece subrayado, lo que nos indica que el sistema ha constatado la validez del contenido del campo.

Esto nos llevará de vuelta a la ventana Propiedades del grupo Administradores que habíamos abierto al principio, pero ahora aparecen dos cuentas con el nombre Administrador: la del dominio principal y la del subdominio.

A partir de este momento, la cuenta administrador del subdominio podrá realizar cambios sobre los objetos del dominio principal… al menos sobre aquellos que tengan ámbito Universal.

… Y con esto damos por concluido el contenido del artículo. Como siempre, espero que te resulte útil.