Buscar

Active Directory: Delegar restablecer contraseña

En ciertas ocasiones, nos vemos con la necesidad de delegar la posibilidad de restablecer la contraseña a un usuario.

En entornos de Active Directory, podemos delegar la administración de una unidad organizativa a un usuario o grupo especificando las funciones a delegar.

En el siguiente ejemplo, veremos cómo delegar la administración de la unidad organizativa donde residen todos los usuarios a los miembros de un grupo de seguridad.

1) Active Directory: Delegar - Escenario:


Vista "Usuarios y equipos de Active Directory" (dsa.msc)

Active Directory: Delegar restablecer contraseña

Rojo:

- Unidad organizativa (OU): Admin-reset-psw

- Interior de la OU: Usuario Admin1 y grupo de seguridad
Admin-reset-psw.

Verde:

- Unidad organizativa (OU): SYSADMIT

- Interior de la OU: Usuarios: Alberto, Juan, Xavi.

Se quiere que todos los miembros del grupo de seguridad Admin-reset-psw, es decir el usuario Admin1, pueda realizar un reset del password de todos los usuarios situados en el interior de la unidad organizativa (OU): SYSADMIT.

Importante: El usuario administrador o los usuarios que pertenecen al grupo "administradores del dominio" están fuera de la unidad organizativa (OU): SYSADMIT. Es decir, fuera de la OU sobre la cual delegaremos el control.

2) Active Directory: Delegar - Procedemos a la delegación de control:


Nos situamos sobre la OU que queremos que otro usuario pueda administrar.

Según el escenario anterior, desde "Usuarios y equipos de Active Directory" (dsa.msc), nos situaremos sobre la OU: SYSADMIT, botón derecho, delegar control:

Active Directory: Delegar restablecer contraseña

A continuación, seleccionamos el grupo al usuario o grupo al que queremos delegar la administración.

Según el escenario anterior, seleccionaremos el grupo:  Admin-reset-psw

Active Directory: Delegar restablecer contraseña

A continuación, seleccionamos las tareas que se delegarán:

Marcamos la opción:

"Reestablecer contraseñas de usuario y forzar el cambio de contraseña".

Active Directory: Delegar restablecer contraseña

3) Active Directory: Delegar - Consola de administración al usuario.


Una vez realizada la configuración delegada, necesitaremos que el usuario pueda acceder a la consola de: "Usuarios y equipos de Active Directory" (dsa.msc) para poder reestablecer las contraseñas de los usuarios.

De forma predeterminada y por motivos de seguridad que vienen configurados en la GPO: "Default Domain Contollers Policy", los usuarios no pueden iniciar sesión local ni por escritorio remoto a un controlador de dominio.

Por tanto:

O modificamos la "Default Domain Contollers Policy", para permitir el acceso (opción totalmente desaconsejada).

O bien instalamos las RSAT (Remote Server Administrator Tools - Herramientas de administración remota del servidor) sobre el equipo donde trabaja el usuario que queremos que pueda restablecer contraseñas.

Para instalar las RSAT (Herramientas de administración remota del servidor) en un sistema operativo cliente, como Windows 7, 8 o 10, deberemos descargarlas de Internet e instalarlas.

Cuando el usuario al que le hemos delegado la administración, procede a cambiar una contraseña de un usuario, podrá hacerlo, en cambio si intenta eliminar el usuario, moverlo, etc, aparecerá un error.

Por ejemplo, según el escenario anterior: el usuario Admin1, intenta eliminar al usuario Xavi y se encuentra con el siguiente error:

Active Directory: Delegar restablecer contraseña

Active Directory: Delegar - Preguntas frecuentes:


1) ¿Donde guarda la configuración realizada con el asistente de delegación?

La configuración queda guardada en las ACL (access control list) de los objetos destino.

Por ejemplo, en el escenario anterior, si revisamos las ACL (access control list) de un usuario que pertenezca a la unidad organizativa: SYSADMIT, veremos lo siguiente:

A) En "Usuarios y equipos de Active Directory" (dsa.msc), nos situamos en el menú "Ver" y marcamos: "Características avanzadas".

B) Nos situamos sobre un usuario de la unidad organizativa: SYSADMIT, botón derecho propiedades, pestaña: "Seguridad".

Pulsamos sobre el botón: "Opciones avanzadas".

Si repasamos la lista, veremos:

Active Directory: Delegar restablecer contraseña

2) ¿Se puede administrar la delegación de Active Directory vía linea de comandos?

Sí, con el comando DSACLS.exe o bien desde PowerShell con los cmd-lets: Get-ACL, Set-ACL.

2 comentarios: