En ciertas ocasiones, nos vemos con la necesidad de delegar la posibilidad de restablecer la contraseña a un usuario.
En entornos de Active Directory, podemos delegar la administración de una unidad organizativa a un usuario o grupo especificando las funciones a delegar.
En el siguiente ejemplo, veremos cómo delegar la administración de la unidad organizativa donde residen todos los usuarios a los miembros de un grupo de seguridad.
1) Active Directory: Delegar - Escenario:
Vista "Usuarios y equipos de Active Directory" (dsa.msc)
Rojo:
- Unidad organizativa (OU): Admin-reset-psw
- Interior de la OU: Usuario Admin1 y grupo de seguridad
Admin-reset-psw.
Admin-reset-psw.
Verde:
- Unidad organizativa (OU): SYSADMIT
- Interior de la OU: Usuarios: Alberto, Juan, Xavi.
Se quiere que todos los miembros del grupo de seguridad Admin-reset-psw, es decir el usuario Admin1, pueda realizar un reset del password de todos los usuarios situados en el interior de la unidad organizativa (OU): SYSADMIT.
Importante: El usuario administrador o los usuarios que pertenecen al grupo "administradores del dominio" están fuera de la unidad organizativa (OU): SYSADMIT. Es decir, fuera de la OU sobre la cual delegaremos el control.
2) Active Directory: Delegar - Procedemos a la delegación de control:
Nos situamos sobre la OU que queremos que otro usuario pueda administrar.
Según el escenario anterior, desde "Usuarios y equipos de Active Directory" (dsa.msc), nos situaremos sobre la OU: SYSADMIT, botón derecho, delegar control:
A continuación, seleccionamos el grupo al usuario o grupo al que queremos delegar la administración.
Según el escenario anterior, seleccionaremos el grupo: Admin-reset-psw
A continuación, seleccionamos las tareas que se delegarán:
Marcamos la opción:
"Reestablecer contraseñas de usuario y forzar el cambio de contraseña".
3) Active Directory: Delegar - Consola de administración al usuario.
Una vez realizada la configuración delegada, necesitaremos que el usuario pueda acceder a la consola de: "Usuarios y equipos de Active Directory" (dsa.msc) para poder reestablecer las contraseñas de los usuarios.
De forma predeterminada y por motivos de seguridad que vienen configurados en la GPO: "Default Domain Contollers Policy", los usuarios no pueden iniciar sesión local ni por escritorio remoto a un controlador de dominio.
Por tanto:
O modificamos la "Default Domain Contollers Policy", para permitir el acceso (opción totalmente desaconsejada).
O bien instalamos las RSAT (Remote Server Administrator Tools - Herramientas de administración remota del servidor) sobre el equipo donde trabaja el usuario que queremos que pueda restablecer contraseñas.
Para instalar las RSAT (Herramientas de administración remota del servidor) en un sistema operativo cliente, como Windows 7, 8 o 10, deberemos descargarlas de Internet e instalarlas.
Cuando el usuario al que le hemos delegado la administración, procede a cambiar una contraseña de un usuario, podrá hacerlo, en cambio si intenta eliminar el usuario, moverlo, etc, aparecerá un error.
Por ejemplo, según el escenario anterior: el usuario Admin1, intenta eliminar al usuario Xavi y se encuentra con el siguiente error:
Active Directory: Delegar - Preguntas frecuentes:
1) ¿Donde guarda la configuración realizada con el asistente de delegación?
La configuración queda guardada en las ACL (access control list) de los objetos destino.
Por ejemplo, en el escenario anterior, si revisamos las ACL (access control list) de un usuario que pertenezca a la unidad organizativa: SYSADMIT, veremos lo siguiente:
A) En "Usuarios y equipos de Active Directory" (dsa.msc), nos situamos en el menú "Ver" y marcamos: "Características avanzadas".
B) Nos situamos sobre un usuario de la unidad organizativa: SYSADMIT, botón derecho propiedades, pestaña: "Seguridad".
Pulsamos sobre el botón: "Opciones avanzadas".
Si repasamos la lista, veremos:
2) ¿Se puede administrar la delegación de Active Directory vía linea de comandos?
Sí, con el comando DSACLS.exe o bien desde PowerShell con los cmd-lets: Get-ACL, Set-ACL.
Muy bueno :)
ResponderEliminarGracias!! :-))
EliminarHola, buenas tardes! Me sorprende gratamente la buena información y practicidad de esta página, Felicitaciones. Mi Problema: Compré una Notebook Toshiba Satélite con Window 10 Pro Activado, creyendo que estaba todo orden. Luego de un par de meses comenzó a aparecer en pantalla la leyenda "Tu licencia de Windows expirará pronto, tienes que activar windows en configuraciones" Resumiendo todo lo que estoy lidiando desde ese día, supuestamente como originalmente la máquina tenía en la Bios la clavede producto del Windows original, no acepta la clave del window 10. Me piden una fortuna por una licencia nueva, imposible para mi. Hay manera de modificar esa clave de la Bios? Gracias a Uds, pude encontrarla, pero puede cambiarse o quitarse si eso me permite cargar la clave de producto del Window 10 que por ahora sigue activado? Millones de gracias desde ya!!
ResponderEliminarHola Mara,
EliminarGracias por tu comentario en el blog.
El post relacionado que habla sobre número de serie de Windows embebido en la BIOS/UEFI del sistema es este:
https://www.sysadmit.com/2015/07/windows-uefi-bios-ver-clave-guardada.html
Igualmente, aprovecho para contestarte tu pregunta: Si el portátil que compraste integra una licencia de Windows 10 Pro y dispones de una factura que así lo refleja, te aconsejaría que te pongas en contacto con el servicio técnico del fabricante, en este caso Toshiba y les expongas el caso, tienen que darte una solución.
Un saludo,
Xavi.