none
Usuario con permisos para desbloquear cuentas de DA no tienen habilitado el check de desbloquear cuenta RRS feed

  • Pregunta

  • Hola, espero me puedan apoyar, tengo el mismo problema que presentan en la siguiente liga, sin embargo en las respuestas ponen una nota para la configuración, pero ya no está disponible, ya otorgué los permisos de reseteo de contraseña y desbloqueo de cuentas a un grupo de seguridad, sin embargo los integrantes del grupo ven habilitado el check de desbloqueo de cuenta y en otras cuentas lo ven deshabilitado y no pueden desbloquearlas, espero me puedan ayudar. Igual a la imagen de la liga.

    https://social.technet.microsoft.com/Forums/windowsserver/es-ES/17b4156d-ff64-41eb-9183-950252229879/permisos-para-desbloquear-cuentas?forum=wsades


    miércoles, 21 de septiembre de 2016 19:16

Todas las respuestas

  • Hola Erik, para decirlo en forma sencilla: "si una cuenta perteneció en algún momento a uno de los 'grupos protegidos", aunque luego no lo está, sigue protegida". Básicamente tiene cortada la herencia de permisos

    Supongo que el enlace que buscas y que puso Sebastián debe ser uno de estos:

    AdminSDHolder, Protected Groups and SDPROP:
    https://technet.microsoft.com/en-us/magazine/2009.09.sdadminholder.aspx

    Five common questions about AdminSdHolder and SDProp | Ask the Directory Services Team:
    https://blogs.technet.microsoft.com/askds/2009/05/07/five-common-questions-about-adminsdholder-and-sdprop/ 

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    • Propuesto como respuesta Moderador M miércoles, 21 de septiembre de 2016 22:08
    • Votado como útil Moderador M lunes, 10 de octubre de 2016 14:20
    miércoles, 21 de septiembre de 2016 22:02
    Moderador
  • Hola Guillermo muchas gracias por tu respuesta, he leído el articulo y ponen una Nota para la solución que esta en este enlace:

    https://support.microsoft.com/es-mx/kb/817433

    Sin embargo he intentado el primer método de solución y me presenta un error cuando intento agregarle al usuario el Atributo dsHeuristics (Error 0x207D Se intentó modificar un objeto para incluir un atributo que no es legal para su clase) también ahí mismo viene el Atributo de adminCount: 1, lo he cambiado a 0 como el segundo método y nada, las cuentas siguen sin poderse desbloquear por el usuario con permisos, específicamente habla de WS2003 mi S.O. es WS2008R2. Conoces alguna otra forma de cambiarle ese atributo a mis usuarios, tengo 74 con ese problema, gracias a la herramienta ADFind pude sacarlos.

    jueves, 22 de septiembre de 2016 18:37
  • Hola Erick, lamentablemente no conozco otra solución :(

    Quizás algún compañero pueda aportar una idea mejor

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    viernes, 23 de septiembre de 2016 21:05
    Moderador