none
Permiso resetear password RRS feed

  • Pregunta

  • Hola amigos.

    Cual es el rol que se le debe asignar a un usuario de TI para que pueda resetear password a los usuarios.

    Yo le asigne el grupo Account Operators, pero aun no le permite resetear los passwords.

    Gracias ....

    lunes, 31 de mayo de 2010 20:56

Respuestas

  • Hola,

    revisa este articulo, es para Windows 2000 pero creo que es aplicable a 2003. Antes de hacer ningun cambio siempre revisa la politica de copias de seguridad.

    Minimum permissions are needed for a delegated administrator to force password change at next logon procedure

    http://support.microsoft.com/kb/296999/en-us

    SYMPTOMS

    "By default, when you, as the administrator, delegate the ability to reset passwords to a user or group by using the Delegation of Control Wizard, that user or group does not have the permission to force a user, for whom the password has been reset, to change their password the next time that the user logs on. If the user to whom you give the permission to reset passwords right-clicks a user account, clicks Reset Password, and then clicks to select the User must change password at next logon check box, the latter user's password is reset, however, this user is not forced to change their password the next time that this user logs on. "


    MCTS: Windows Server 2008 Active Directory, Configuring
    martes, 1 de junio de 2010 19:27
    Moderador
  • shalom06, otra consideración a tener en cuenta: el permiso de reset password se aplica sólo a "usuarios comunes", esto es, no le permitirá resetear la passwor de *ators (Sever Operators, Backup Operators, Administrators, etc.)

    Poder desbloquear cuentas es otra delegación totalmente diferente. En W2003 hay que modificar el archivo DELEGWIZ.INF, y no es fácil.

    Un poco de info al respecto la tienes acá
    How to customize the task list in the Delegation Wizard:
    http://support.microsoft.com/kb/308404

     


    Guillermo Delprato - MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration --- Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos. --- Buenos Aires, Argentina
    martes, 1 de junio de 2010 23:15
    Moderador

Todas las respuestas

  • Hola,

    se trata de un server 2008?  en caso afirmativo no hace falta añadirlo a ningun grupo, en mejor hacerlo con la delegacion de permisos, para ello en la consola de Usuarios y Equipos de Active Directory--> seleccionas el usuario--> boton derecho--> Delegate Control--> sigue el asistente seleccionando en tipos de objeto "User Objets" y en permisos selecciona "Reset Password", con eso le concedes a ese usuario el privilegio para resetar passwords del resto de usuarios.

    Ya nos contaras.

    Saludos!!


    MCTS: Windows Server 2008 Active Directory, Configuring
    • Propuesto como respuesta Pep lopezModerator lunes, 31 de mayo de 2010 23:24
    • Votado como útil shalom06 martes, 1 de junio de 2010 13:30
    lunes, 31 de mayo de 2010 23:21
    Moderador
  • Es un Server 2003
    martes, 1 de junio de 2010 13:22
  • Hola,

    revisa el proceso que te he puesto ya que creo que en 2003 es identico o muy parecido pero me consta que tambien se puede utilizar el asistente para delegacion de permisos y ahi debes seleccionar el permiso de resetear passwords.

    Pruebalo y comentanos.

    Saludos!


    MCTS: Windows Server 2008 Active Directory, Configuring
    martes, 1 de junio de 2010 13:36
    Moderador
  • Añado,

    aqui tienes una guia para windows 2000 asi que en 2003 debe ser identico. El punto que te interesa se encuentra en la mitad mas o menos.

    http://www.activewin.com/win2000/step_by_step/active_directory/delegsteps.shtml

     

    Delegating Resetting of Passwords for All Users

    This section describes an important task that large organizations perform—delegating the task of resetting passwords on user accounts when users forget them and call the HelpDesk.

    1. In the Active Directory Users and Computers snap-in, click Divisions.
    2. Right-click Divisions, and select Delegate control. The Delegation of Control wizard appears.
    3. On the Welcome page, click Next.
    4. On the Users or Groups page, click Add, scroll to HelpDesk, and click Add, then click OK.
    5. Click Reset password on a user accounts, click Next, and then click Finish.

    To Verify the Permissions Granted

    1. In the Active Directory Users and Computers snap-in, on the View menu, click Advanced Features.
    2. Right-click Divisions, and then click Properties.
    3. On the Security tab, click Advanced. You should see several permission entries that apply to User objects. One of them is for HelpDesk.
    4. Double-click HelpDesk and you should see that it gives Reset Password right on user objects. This indicates that task was performed. All the other permissions that apply to user objects are the defaults that were picked from the schema.

    To Verify the Delegation

    1. Log on to a user account that is member of HelpDesk group.
    2. In the Active Directory Users and Computers snap-in, select any user within Divisions OU.
    3. Right-click the user name, and select Reset Password. The password is reset.
    4. Try the same operation on a user outside Divisions OU. The reset attempt fails, and an Access Denied message is displayed. This confirms that the delegation was successful and is correctly scoped.

    MCTS: Windows Server 2008 Active Directory, Configuring
    martes, 1 de junio de 2010 13:40
    Moderador
  • Hice la prubea asignandole el permiso de reset password y luego verifique la asignacion y fue correcta. Pero cuando me logeo con el usuario que he delegado, no le esta permitiendo resetear el password.

    Despues que aplique la delegacion hice un gpupdate y reinicie la sesion. Los cambio lo aplique en una OU de pueba.

    martes, 1 de junio de 2010 15:38
  • Hola,

    como lo estas haciendo? te logueas en el servidor y abres la consola de Active Directory Users and computers? la opcion esta deshabilitada? lo haces desde linea de comandos con net user usuario * /domain ?

     


    MCTS: Windows Server 2008 Active Directory, Configuring
    martes, 1 de junio de 2010 16:01
    Moderador
  • Lo hago desde una PC que tiene el paquete de herramientas administrativas instalado.

    -Abro Active Directory Users and Computers.

    - Escojo la OU (donde estan los usuarios que quiero que el operador pueda resetear el pwd) click derecho Delegate Control.

    -Selecciono el usuario

    -Aplico las opciones que deseo ( Reset user password and force password chan.....)

    Tambien probe cotejando la opcion Create, Delete and Manage User Accounts.

    Luego en otro equipo me logeo con el usuario al cual le asigne el permiso de resetear. Ese equipo tiene tambien las herramientas administrativas instaladas.

    martes, 1 de junio de 2010 16:27
  • Hola,

    me referia al proceso de resetear la contraseña de un usuario. Que proceso sigues? la opcion esta deshabilitada o te muestra un mensaje de error? has probado a intentarlo con el comando net user como te puse en mi anterior comentario?

     


    MCTS: Windows Server 2008 Active Directory, Configuring
    martes, 1 de junio de 2010 17:31
    Moderador
  • Uso la consola de User and Computer, la opcion aparece activa, aunque el cuadro para cotejar que el cliente cambie el password en el proximo logon, este si aparece desactivado. Una vez que trato de resetear el pass y aplico me sale un mensaje de error de que no tengo permiso.

    Otra opcion que esta desactivada es la de activar cuenta bloqueada, me gustaria activar esa opcion para que soporte tecnico pueda desbloquear cuenta de usuario.

    La parte de net user no la probre, ya que creo que para los usuarios de soporte tecnico esta no seria la mejor via.

    martes, 1 de junio de 2010 19:10
  • Hola,

    revisa este articulo, es para Windows 2000 pero creo que es aplicable a 2003. Antes de hacer ningun cambio siempre revisa la politica de copias de seguridad.

    Minimum permissions are needed for a delegated administrator to force password change at next logon procedure

    http://support.microsoft.com/kb/296999/en-us

    SYMPTOMS

    "By default, when you, as the administrator, delegate the ability to reset passwords to a user or group by using the Delegation of Control Wizard, that user or group does not have the permission to force a user, for whom the password has been reset, to change their password the next time that the user logs on. If the user to whom you give the permission to reset passwords right-clicks a user account, clicks Reset Password, and then clicks to select the User must change password at next logon check box, the latter user's password is reset, however, this user is not forced to change their password the next time that this user logs on. "


    MCTS: Windows Server 2008 Active Directory, Configuring
    martes, 1 de junio de 2010 19:27
    Moderador
  • shalom06, otra consideración a tener en cuenta: el permiso de reset password se aplica sólo a "usuarios comunes", esto es, no le permitirá resetear la passwor de *ators (Sever Operators, Backup Operators, Administrators, etc.)

    Poder desbloquear cuentas es otra delegación totalmente diferente. En W2003 hay que modificar el archivo DELEGWIZ.INF, y no es fácil.

    Un poco de info al respecto la tienes acá
    How to customize the task list in the Delegation Wizard:
    http://support.microsoft.com/kb/308404

     


    Guillermo Delprato - MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration --- Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos. --- Buenos Aires, Argentina
    martes, 1 de junio de 2010 23:15
    Moderador
  • El usuario que estas utilizando , es miembro de algun grupo protegido ? alguno de todos los que terminan con ators :) ? 


    Hay un error muy comun cuando se hacen delegaciones y es que no se tiene en cuenta el Admin SD holder , este contenedor guarda las ACLS para los Security descriptors protegidos , entonces si tu asignas un permiso el mismo sera removido cada 60 minutos por default, cuando corre el SDpropagator.

    Ejecuta el siguiente comando , y verifica si el usuario al cual le estas delegando los permisos esta listado ahi ?

    ldifde -f Admincount-1.txt -d dc=<var style="-webkit-box-sizing: border-box;">your domain</var> -r "(&(objectcategory=person)(objectclass=user)(admincount=1))"

    Por otro lado , has seguido paso a paso los documentos que te dejo  Pep ?


    Sebastian del Rio - MCP - MCSA +S - MCSE +S - MCITP:Enterprise Administrator Buenos Aires - Argentina Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho. Ud. asume los riesgos
    jueves, 3 de junio de 2010 0:44
    Moderador
  • Hola amigos, perdonen la tardanza en contestar.

    Les comento que en cierto modo pude aplicar lo deseado, con la referencias de Pep, editando el archivo Dssec.dat.

    Guille; la parte de desbloquear cuenta tambien me funciono, con tan solo delegar la parte de LockuotTime.

    Pero sigo teneindo un problema y es que hay algunos usuarios que no me esta permitiendo resetear o desbloquear. Aunque estan en la misma OU y e los mismo grupos de los usuarios que si puedo.

    Que podria estar pasando con esos usuarios.

    Gracias...
    martes, 8 de junio de 2010 16:23
  • La modificación en el DELEGWIZ era para que aparezca la opción en el asistente, pero el resultado es justamente ese, permitir escribir en LockoutTime :-)

    Esas cuentas que no se pueden desbloquear, revisa si en algún momento han pertenecido a los grupos protegidos, que en general son, como dice Sebastián.

    En inglés son los "*ators": Administrators, Server Operators, Account Operators, etc.
    En español son los administradores y todos lo grupos "Operador de *"

    El tema es que aunque se los saques de esos grupos, siguen estando protegidos. Revisa la respuesta de Sebastián que creo que ayudará.

     


    Guillermo Delprato - MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration --- Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos. --- Buenos Aires, Argentina
    martes, 8 de junio de 2010 18:28
    Moderador
  • Verifique las respuestas de Pep, pero no vi que me hable acerca de que hacer si un usuario en algun momento pertenecio a uno de los grupos *ators. y ahora no se deja resetear el passw por el usuario a quien se le ha delegado la funcion.

     

     

    miércoles, 9 de junio de 2010 19:19
  • Hola Shalom,

    lee el comentario de Sebastian del Rio del 3 de Junio y verifica si esos usuarios fueron en el pasado *ators.

    Saludos!!


    MCTS: Windows Server 2008 Active Directory, Configuring - MCTS: Windows Server 2008 Network Infrastructure, Configuring
    miércoles, 9 de junio de 2010 19:37
    Moderador
  • No he estoy familiarzado con el comando eldif, intente pero no obtengo el resultado.

    cual seria la sintaxis para un dominio llamado "prueba" y un usario "pepe"

    Se ejecunta desde linea de comando o desde el run?

    ldifde -f Admincount-1.txt -d dc=<var style="-webkit-box-sizing: border-box;">your domain</var> -r "(&(objectcategory=person)(objectclass=user)(admincount=1))"

    miércoles, 9 de junio de 2010 21:25
  • Shalom , 

    Lo que puedes hacer es lo siguienet

    1 - Instalar las support tools en el DC desde http://www.microsoft.com/downloads/details.aspx?FamilyID=6ec50b78-8be1-4e81-b3be-4e7ac4f0912d&displaylang=en

    2 - Una vez las tienes ejecutar adsiedit.msc

    3 - En el arbol que tienes a la izquierda selecciona la particion de Dominio , y ahi selecciona la OU donde reside el usuario , hasta encontrar al usuario "prueba" o "pepe"

    4 -Boton derecho y propiedades sobre el usuario

    5 - Verifica el atributo de AdminCount, con que valor aparece , en los usuarios donde no puedes cambiar el password ?


    Sebastian del Rio - MCP - MCSA +S - MCSE +S - MCITP:Enterprise Administrator Buenos Aires - Argentina Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho. Ud. asume los riesgos
    miércoles, 9 de junio de 2010 22:06
    Moderador
  • El valor que tienen es 1
    viernes, 11 de junio de 2010 14:52
  • Verifica que el usuario no sea miembro de ninguno de los grupos mencionados aqui , en caso que NO SEA miembro , modifica el valor de AdminCount a 0 , e intenta el reseteo del password nuevamente , deberia funcionar :)
    • Administrators
    • Account Operators
    • Server Operators
    • Print Operators
    • Backup Operators
    • Domain Admins
    • Schema Admins
    • Enterprise Admins
    • Cert Publishers
    El problema se da por que un usuario que tiene el permiso delegado por cuestiones de seguridad no puede por default resetear los passowrds de usuarios que se consideran administrativos "Grupos Protegidos"

    Sebastian del Rio - MCP - MCSA +S - MCSE +S - MCITP:Enterprise Administrator Buenos Aires - Argentina Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho. Ud. asume los riesgos
    viernes, 11 de junio de 2010 23:15
    Moderador
  • Le cambie el valor a 0, y verifique los grupos a al cual pertenece el usuario. Pero aun no me permite, eso pasa von varios usuarios.

    Le di un gpupdate tanto al servidor como a la pc cliente.

    lunes, 14 de junio de 2010 20:09
  • He estado leyendo vuestras respuestas y no consigo aclarme. Yo tengo un grupo de seguridad creado, y quiero que  todos los miembros de este grupo puedan resetear contraseñas. Cómo he de hacerlo?

     

    Gracias

    lunes, 28 de noviembre de 2011 19:57