Principales respuestas
Permiso resetear password

Pregunta
-
Respuestas
-
Hola,
revisa este articulo, es para Windows 2000 pero creo que es aplicable a 2003. Antes de hacer ningun cambio siempre revisa la politica de copias de seguridad.
Minimum permissions are needed for a delegated administrator to force password change at next logon procedure
http://support.microsoft.com/kb/296999/en-us
SYMPTOMS
"By default, when you, as the administrator, delegate the ability to reset passwords to a user or group by using the Delegation of Control Wizard, that user or group does not have the permission to force a user, for whom the password has been reset, to change their password the next time that the user logs on. If the user to whom you give the permission to reset passwords right-clicks a user account, clicks Reset Password, and then clicks to select the User must change password at next logon check box, the latter user's password is reset, however, this user is not forced to change their password the next time that this user logs on. "
MCTS: Windows Server 2008 Active Directory, Configuring- Marcado como respuesta Atilla ArrudaModerator viernes, 4 de junio de 2010 23:12
-
shalom06, otra consideración a tener en cuenta: el permiso de reset password se aplica sólo a "usuarios comunes", esto es, no le permitirá resetear la passwor de *ators (Sever Operators, Backup Operators, Administrators, etc.)
Poder desbloquear cuentas es otra delegación totalmente diferente. En W2003 hay que modificar el archivo DELEGWIZ.INF, y no es fácil.
Un poco de info al respecto la tienes acá
How to customize the task list in the Delegation Wizard:
http://support.microsoft.com/kb/308404
Guillermo Delprato - MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration --- Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos. --- Buenos Aires, Argentina- Marcado como respuesta Atilla ArrudaModerator viernes, 4 de junio de 2010 23:12
Todas las respuestas
-
Hola,
se trata de un server 2008? en caso afirmativo no hace falta añadirlo a ningun grupo, en mejor hacerlo con la delegacion de permisos, para ello en la consola de Usuarios y Equipos de Active Directory--> seleccionas el usuario--> boton derecho--> Delegate Control--> sigue el asistente seleccionando en tipos de objeto "User Objets" y en permisos selecciona "Reset Password", con eso le concedes a ese usuario el privilegio para resetar passwords del resto de usuarios.
Ya nos contaras.
Saludos!!
MCTS: Windows Server 2008 Active Directory, Configuring- Propuesto como respuesta Pep lopezModerator lunes, 31 de mayo de 2010 23:24
- Votado como útil shalom06 martes, 1 de junio de 2010 13:30
-
-
Hola,
revisa el proceso que te he puesto ya que creo que en 2003 es identico o muy parecido pero me consta que tambien se puede utilizar el asistente para delegacion de permisos y ahi debes seleccionar el permiso de resetear passwords.
Pruebalo y comentanos.
Saludos!
MCTS: Windows Server 2008 Active Directory, Configuring -
Añado,
aqui tienes una guia para windows 2000 asi que en 2003 debe ser identico. El punto que te interesa se encuentra en la mitad mas o menos.
http://www.activewin.com/win2000/step_by_step/active_directory/delegsteps.shtml
Delegating Resetting of Passwords for All Users
This section describes an important task that large organizations perform—delegating the task of resetting passwords on user accounts when users forget them and call the HelpDesk.
- In the Active Directory Users and Computers snap-in, click Divisions.
- Right-click Divisions, and select Delegate control. The Delegation of Control wizard appears.
- On the Welcome page, click Next.
- On the Users or Groups page, click Add, scroll to HelpDesk, and click Add, then click OK.
- Click Reset password on a user accounts, click Next, and then click Finish.
To Verify the Permissions Granted
- In the Active Directory Users and Computers snap-in, on the View menu, click Advanced Features.
- Right-click Divisions, and then click Properties.
- On the Security tab, click Advanced. You should see several permission entries that apply to User objects. One of them is for HelpDesk.
- Double-click HelpDesk and you should see that it gives Reset Password right on user objects. This indicates that task was performed. All the other permissions that apply to user objects are the defaults that were picked from the schema.
To Verify the Delegation
- Log on to a user account that is member of HelpDesk group.
- In the Active Directory Users and Computers snap-in, select any user within Divisions OU.
- Right-click the user name, and select Reset Password. The password is reset.
- Try the same operation on a user outside Divisions OU. The reset attempt fails, and an Access Denied message is displayed. This confirms that the delegation was successful and is correctly scoped.
MCTS: Windows Server 2008 Active Directory, Configuring -
Hice la prubea asignandole el permiso de reset password y luego verifique la asignacion y fue correcta. Pero cuando me logeo con el usuario que he delegado, no le esta permitiendo resetear el password.
Despues que aplique la delegacion hice un gpupdate y reinicie la sesion. Los cambio lo aplique en una OU de pueba.
-
Hola,
como lo estas haciendo? te logueas en el servidor y abres la consola de Active Directory Users and computers? la opcion esta deshabilitada? lo haces desde linea de comandos con net user usuario * /domain ?
MCTS: Windows Server 2008 Active Directory, Configuring -
Lo hago desde una PC que tiene el paquete de herramientas administrativas instalado.
-Abro Active Directory Users and Computers.
- Escojo la OU (donde estan los usuarios que quiero que el operador pueda resetear el pwd) click derecho Delegate Control.
-Selecciono el usuario
-Aplico las opciones que deseo ( Reset user password and force password chan.....)
Tambien probe cotejando la opcion Create, Delete and Manage User Accounts.
Luego en otro equipo me logeo con el usuario al cual le asigne el permiso de resetear. Ese equipo tiene tambien las herramientas administrativas instaladas.
-
Hola,
me referia al proceso de resetear la contraseña de un usuario. Que proceso sigues? la opcion esta deshabilitada o te muestra un mensaje de error? has probado a intentarlo con el comando net user como te puse en mi anterior comentario?
MCTS: Windows Server 2008 Active Directory, Configuring -
Uso la consola de User and Computer, la opcion aparece activa, aunque el cuadro para cotejar que el cliente cambie el password en el proximo logon, este si aparece desactivado. Una vez que trato de resetear el pass y aplico me sale un mensaje de error de que no tengo permiso.
Otra opcion que esta desactivada es la de activar cuenta bloqueada, me gustaria activar esa opcion para que soporte tecnico pueda desbloquear cuenta de usuario.
La parte de net user no la probre, ya que creo que para los usuarios de soporte tecnico esta no seria la mejor via.
-
Hola,
revisa este articulo, es para Windows 2000 pero creo que es aplicable a 2003. Antes de hacer ningun cambio siempre revisa la politica de copias de seguridad.
Minimum permissions are needed for a delegated administrator to force password change at next logon procedure
http://support.microsoft.com/kb/296999/en-us
SYMPTOMS
"By default, when you, as the administrator, delegate the ability to reset passwords to a user or group by using the Delegation of Control Wizard, that user or group does not have the permission to force a user, for whom the password has been reset, to change their password the next time that the user logs on. If the user to whom you give the permission to reset passwords right-clicks a user account, clicks Reset Password, and then clicks to select the User must change password at next logon check box, the latter user's password is reset, however, this user is not forced to change their password the next time that this user logs on. "
MCTS: Windows Server 2008 Active Directory, Configuring- Marcado como respuesta Atilla ArrudaModerator viernes, 4 de junio de 2010 23:12
-
shalom06, otra consideración a tener en cuenta: el permiso de reset password se aplica sólo a "usuarios comunes", esto es, no le permitirá resetear la passwor de *ators (Sever Operators, Backup Operators, Administrators, etc.)
Poder desbloquear cuentas es otra delegación totalmente diferente. En W2003 hay que modificar el archivo DELEGWIZ.INF, y no es fácil.
Un poco de info al respecto la tienes acá
How to customize the task list in the Delegation Wizard:
http://support.microsoft.com/kb/308404
Guillermo Delprato - MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration --- Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos. --- Buenos Aires, Argentina- Marcado como respuesta Atilla ArrudaModerator viernes, 4 de junio de 2010 23:12
-
El usuario que estas utilizando , es miembro de algun grupo protegido ? alguno de todos los que terminan con ators :) ?
Hay un error muy comun cuando se hacen delegaciones y es que no se tiene en cuenta el Admin SD holder , este contenedor guarda las ACLS para los Security descriptors protegidos , entonces si tu asignas un permiso el mismo sera removido cada 60 minutos por default, cuando corre el SDpropagator.Ejecuta el siguiente comando , y verifica si el usuario al cual le estas delegando los permisos esta listado ahi ?
ldifde -f Admincount-1.txt -d dc=<var style="-webkit-box-sizing: border-box;">your domain</var> -r "(&(objectcategory=person)(objectclass=user)(admincount=1))"
Por otro lado , has seguido paso a paso los documentos que te dejo Pep ?
Sebastian del Rio - MCP - MCSA +S - MCSE +S - MCITP:Enterprise Administrator Buenos Aires - Argentina Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho. Ud. asume los riesgos- Marcado como respuesta Atilla ArrudaModerator viernes, 4 de junio de 2010 23:12
- Desmarcado como respuesta shalom06 martes, 8 de junio de 2010 16:24
-
Hola amigos, perdonen la tardanza en contestar.
Les comento que en cierto modo pude aplicar lo deseado, con la referencias de Pep, editando el archivo Dssec.dat.
Guille; la parte de desbloquear cuenta tambien me funciono, con tan solo delegar la parte de LockuotTime.
Pero sigo teneindo un problema y es que hay algunos usuarios que no me esta permitiendo resetear o desbloquear. Aunque estan en la misma OU y e los mismo grupos de los usuarios que si puedo.
Que podria estar pasando con esos usuarios.
Gracias... -
La modificación en el DELEGWIZ era para que aparezca la opción en el asistente, pero el resultado es justamente ese, permitir escribir en LockoutTime :-)
Esas cuentas que no se pueden desbloquear, revisa si en algún momento han pertenecido a los grupos protegidos, que en general son, como dice Sebastián.
En inglés son los "*ators": Administrators, Server Operators, Account Operators, etc.
En español son los administradores y todos lo grupos "Operador de *"El tema es que aunque se los saques de esos grupos, siguen estando protegidos. Revisa la respuesta de Sebastián que creo que ayudará.
Guillermo Delprato - MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration --- Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos. --- Buenos Aires, Argentina -
-
Hola Shalom,
lee el comentario de Sebastian del Rio del 3 de Junio y verifica si esos usuarios fueron en el pasado *ators.
Saludos!!
MCTS: Windows Server 2008 Active Directory, Configuring - MCTS: Windows Server 2008 Network Infrastructure, Configuring -
No he estoy familiarzado con el comando eldif, intente pero no obtengo el resultado.
cual seria la sintaxis para un dominio llamado "prueba" y un usario "pepe"
Se ejecunta desde linea de comando o desde el run?
ldifde -f Admincount-1.txt -d dc=<var style="-webkit-box-sizing: border-box;">your domain</var> -r "(&(objectcategory=person)(objectclass=user)(admincount=1))"
-
Shalom ,
Lo que puedes hacer es lo siguienet
1 - Instalar las support tools en el DC desde http://www.microsoft.com/downloads/details.aspx?FamilyID=6ec50b78-8be1-4e81-b3be-4e7ac4f0912d&displaylang=en
2 - Una vez las tienes ejecutar adsiedit.msc3 - En el arbol que tienes a la izquierda selecciona la particion de Dominio , y ahi selecciona la OU donde reside el usuario , hasta encontrar al usuario "prueba" o "pepe"
4 -Boton derecho y propiedades sobre el usuario
5 - Verifica el atributo de AdminCount, con que valor aparece , en los usuarios donde no puedes cambiar el password ?
Sebastian del Rio - MCP - MCSA +S - MCSE +S - MCITP:Enterprise Administrator Buenos Aires - Argentina Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho. Ud. asume los riesgos -
-
Verifica que el usuario no sea miembro de ninguno de los grupos mencionados aqui , en caso que NO SEA miembro , modifica el valor de AdminCount a 0 , e intenta el reseteo del password nuevamente , deberia funcionar :)
- Administrators
- Account Operators
- Server Operators
- Print Operators
- Backup Operators
- Domain Admins
- Schema Admins
- Enterprise Admins
- Cert Publishers
El problema se da por que un usuario que tiene el permiso delegado por cuestiones de seguridad no puede por default resetear los passowrds de usuarios que se consideran administrativos "Grupos Protegidos"
Sebastian del Rio - MCP - MCSA +S - MCSE +S - MCITP:Enterprise Administrator Buenos Aires - Argentina Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho. Ud. asume los riesgos -
-