none
Reestablecer la contraseña en el AD por un usuario no administrador en remoto RRS feed

  • Pregunta

  • Hola,

    me gustaría saber cómo implementar la típica funcionalidad Olvidé mi contraseña en dominio Windows.

    Tenemos  un controlador de dominio en un Windows Server 2008. En el caso de que un usuario no recuerde su contraseña, no puede conectarse al dominio. ¿Como podría implementar una solución que permitiese solicitar al usuario una nueva contraseña y que esta, generada aleatoriamente, se enviase a la cuenta de correo del empleado? Sería necesario desbloquear el usuario en caso de que la cuenta estuviese bloqueada tras varios intentos fallidos de login.

    Muchas gracias,

    María

    jueves, 11 de octubre de 2012 14:37

Respuestas

Todas las respuestas

  • Hola Maria,

    Un procedimiento de cambio de password desde el lado del usuario siempre va a pedir previamente que introduzcas el password actual para verificar que eres realmente el usuario... Sino sería un bug en seguridad gravísimo ya que cualquier podría rehacer el password sin antes confirmar su identidad.

    La única manera de resetear el password sin conocer el anterior es desde consola de AD con un usuario que sea account operator. O, si estás en un entorno workgroup con un password reset disk, pero creo que esta opción no es válida para entornos en dominio.

    Saludos

    Julio Rosua

    jueves, 11 de octubre de 2012 16:47
  • Hola María,

    Coincido con Julio en que podría suponer un fallo de seguridad, además no se que tipo de software usas para el correo electrónico, pero si estás usando exchange y la cuenta del usuario está bloqueada ... ¿Cómo va a acceder el usuario a su correo electrónico?




    Salu2!, Dani Gracia - Madrid España
    -------------------------------------------------------------------------------------------------------------
    Por favor, marca como propuesta o como respuesta la que haya solucionado tu problema.<
    -------------------------------------------------------------------------------------------------------------

    viernes, 12 de octubre de 2012 18:38
  • Hola de nuevo,

    como servidor de correo no usamos exchange. Está desvinculado del AD, con lo cual, para el usuario sí que estaría accesible aunque no pudiese acceder al dominio.

    Realmente tenemos un problema para la gente que trabaja en cliente en horario no estandar. Este es el prototipo de usuario que debería tener un modo de obtener contraseña en caso de olvido. Supongo que el sistema podría pedir información personal para asegurarse de que es el propio usuario quien solicita el cambio, además, la nueva contraseña se enviaría a su buzón de correo...

    Gracias,

    María

    lunes, 15 de octubre de 2012 11:34
  • Hola Maria,

    Lo que requieres es un portal de autoservicio de reseteo de passwords. Se que existen varias soluciones third party que ofrecen esta funcionalidad, aunque evidentemente tiene coste.

    http://www.specopssoft.com/products/specops-password-reset

    http://www.manageengine.com/products/self-service-password/self-service-password-reset.html 

    Suelen almacenar una serie de preguntas secretas por cada usuario y se puede recuperar el password contestando a las preguntas en un wizard en la pantalla de logon. 

    También podrías configurarlo con Forefront Identity Manager si dispones de licencia.

    Saludos

    Julio Rosua

    lunes, 15 de octubre de 2012 11:50
  • Hola,

    Para los que tienen infraestructura de Exchange, donde es dependiente el estado del usuario el poder acceder o no a su correo, en su momento vi implementaciones de soluciones muy interesantes, donde podias tener dos alternativas para ser notificado del estado de tu cuenta:

    1) Mail de notificación sea de una contraseña o actualización en la cuenta del usuario, pero que le llegue al jefe directo de la persona que gestiono el caso, en caso de personas con cargo superiores en la empresa, podían acceder a un par para que reciba la notificación correspondiente.

    2) Adjuntar el celular de la persona donde se notificaría lo requerido, mediante SMS, este punto también muy interesante y funciona muy bien..

    Siempre, como ya indicaron, al gestionar el caso desde el portal autogestión, con preguntas y respuestas previamente definidas al registrarse en el portal.-

    Salu2


    Leonardo Ponti
    MVP: Directory Services
    MCTS: Microsoft Certified Technology Specialist
    MCSE: Microsoft Certified Systems Engineer (Windows Server 2003)
    MCSA: Microsoft Certified Systems Administrator (Windows Server 2003)
    Blog - Facebook - Twitter

    Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho. Ud. asume los riesgos.
    This posting is provided "AS IS" with no warranties, and confer no rights. You assume all risk for your use.

    lunes, 15 de octubre de 2012 12:56
    Moderador