Windows Server: Delegación Permisos Administración Active Directory

En esta entrada voy a explicaros como podéis delegar permisos sobre vuestro Active Directory de forma general o sobre una OU en concreto para por ejemplo derivar tareas como puede ser desbloqueo de usuarios, cambios de contraseñas, etc…

En este ejemplo me voy a centrar en realizar una configuración para que un usuario pueda únicamente desbloquear usuarios y cambiar contraseñas sobre una OU concreta. A partir de aquí podréis adaptarlo a vuestras necesidades.

Delegar control a un usuario sobre una OU

En primer lugar nos iremos a la consola de Usuarios y equipos de Active Directory, pulsaremos con el botón derecho sobre la OU en la que queremos delegar y seleccionamos Delegar control.

Pulsamos en Siguiente para iniciar el asistente.

Seleccionamos el usuario o grupo sobre el que queremos delegar el control de nuestra OU.

Seleccionamos las tareas a delegar. Para nuestro ejemplo marcaremos Restablecer contraseñas de usuario y forzar el cambio de contraseña. Pulsamos Siguiente para continuar.

Comprobamos que todo es correcto y pulsamos en Finalizar.

Con esta configuración ya habremos delegado sobre el usuario/s o grupo/s seleccionados la posibilidad de restablecer o forzar el cambio de contraseñas de los usuarios que formen parte de la OU. Pero al principio os comenté que también íbamos a dar la posibilidad de desbloquear cuentas de usuarios y para ello tendremos que realizar una configuración adicional.

Nuevamente pulsaremos sobre nuestra OU con el botón derecho y en esta ocasión seleccionaremos Propiedades.

Seleccionaremos la pestaña Seguridad y pulsaremos sobre Opciones avanzadas.

Pulsamos sobre Agregar.

La siguiente pantalla nos brindará múltiples opciones para poder dar exactamente los permisos que queramos delegar. Para nuestro ejemplo como lo que queremos es permitir el desbloqueo de usuarios tendremos que buscar las propiedades Leer lockoutTime y Escribir lockoutTime, marcarlas y pulsar en Aceptar.

Y listo con esta sencilla configuración habremos delegado el permiso de cambiar contraseñas y desbloquear usuarios de las cuentas de usuarios o grupos seleccionados y podremos dedicarnos nosotros a tareas más complejas :).

Quitar delegación sobre un usuario o grupo

Por último me gustaría explicaros como podéis quitar la delegación sobre un usuario o grupo.

Nuevamente nos posicionaremos sobre nuestra OU y con el botón derecho pulsaremos sobre Propiedades.

Nos iremos a la pestaña Seguridad, seleccionaremos al usuario o grupo sobre el que queremos quitar la delegación y pulsaremos en Quitar. Finalmente le damos a Aceptar para que se apliquen los cambios y de esta forma tan sencilla habremos quitado la delegación de permisos a ese usuario o grupo.

En la próxima entrada os explicaré como podemos crear una vista para que el usuario sobre el que hemos delegado sólo pueda ver los usuarios de la OU sobre la que le hemos concedido permisos. Sin esta vista, debido a la arquitectura de Active Directory, el usuario sobre el que hemos delegado podrá ver todas nuestras OU y usuarios aunque sólo podrá cambiar contraseñas y desbloquear cuentas de usuarios pertenecientes a la OU sobre la que le hemos delegado.

Espero os haya servido de utilidad.

23 comentarios en «Windows Server: Delegación Permisos Administración Active Directory»

  1. Lo primero gracias por tu aporte, llevo horas buscando alguna explicación sencilla y en castellano, y aparece esta 😀

    Te quería comentar que la primera parte bien, pero cuando hay que seleccionar la OU y botón dcho propiedades, a mi me aparece «General, Managed By y COM+», lo que tu comentas no me aparece y ya me estoy volviendo loco :'(

    Gracias por el artículo y saludos!

    Responder
    • Hola akil3s,

      Tiene pinta que la cuenta de usuario con la que te conectas al servidor tenga permisos limitados o tenga aplicada alguna política de seguridad que haga que no te aparezca esta pestaña ya que la pestaña de seguridad, que sino me equivoco es la que no te aparece, viene con defecto con Windows y no hay nada adicional que hacer para que aparezca. ¿Puedes hacer la prueba con la cuenta del administrador de dominio?. Si con esta última te sale entonces es que tu usuario tiene aplicada restricciones.

      Saludos.

      Responder
      • Hola Sergio, gracias por responder tan rápido.

        Estoy conectado como un usuario con privilegios de admin del dominio. Además, he probado con la cuenta de administrador (de dominio) y me pasa lo mismo. No puedo adjuntarte imágenes, pero creeme que he probado con ambos usuarios (y un 3º con permisos también de admin del dominio) y no aparece.

        No te preocupes, sigo investigando. Gracias por tu tiempo!

        Responder
        • Pues no sabría decirte la verdad porque es bastante rara la casuística que comentas y nunca se me ha dado el caso.
          Siento no poder serte de más ayuda pero sino te importa y consigues solucionarlo te agradecería lo compartieras por si a alguien más le ocurre el caso y le puede ser de utilidad y ya de camino sacio mi curiosidad porque me parece bastante raro y curioso el tema.

          Responder
  2. Tienes que activar las opciones avanzadas:
    Active Directory Users and Computers – View Menu – Advanced Features.

    Una vez hecho eso, entras a las propiedades de tu OU y ya veras la pestaña Security.

    Responder
  3. Buenas Tardes.

    Tengo una situación y quisiera saber el alcance. Quiero asignar permisos a un usuario para que pueda crear usuarios en la OU, pero NO pueda borrarlos, solo des habilitarlos.

    El problema es que también necesito que pueda moverlos entre OU’s pero solo puedo lograr esto si le doy el permiso de borrar usuarios.

    Hay alguna manera de lograr esto: Crear usuarios, modificar, restablecer password, habilitar/des habilitar usuarios, mover entre OU’s pero NO poder borrarlos.

    Responder
    • Hola Jesús,

      Creo que no es posible hacer lo que comentas ya que el movimiento implica eliminación del sitio original y por eso es necesario disponer de dicho permiso.

      Saludos.

      Responder
  4. Buen día, es un gusto saludarte.

    Tengo una consulta referente al tema, ¿cómo puedo delegar el permiso a una OU para que cree y elimine computadoras a la misma?

    No sé si tendría que entrar al Delegation of Control Wizard y luego seleccionar Create a custom task to delegate, y aqui asignar la de «Computer object», seleccionando también las opciones de Crear y Eliminar.

    Quedo al tanto, muchas gracias.

    Responder
    • Hola Eduardo,

      Pues no he probado a realizar lo que comentas pero debe de ser alguna de las opciones de todas las que aparecen cuando se aplican los permisos. La de computer object tiene toda la pinta que podría ser.

      Si das con la que es te agradecería lo compartieras con la comunidad 😉

      Un saludo.

      Responder
  5. Gracias Sergio, justo necesitaba hacer esto y tu tutorial me viene como anillo al dedo. Saludos desde Argentina!

    Responder
  6. Hola Sergio, estoy con una complicación de permiso de usuarios,ntengo una aplicación donde necesito registrar librerías, una vez registradas como administrador la aplicación funciona correctamente desde el usuario administrador pero no desde los usuarios remotos.. llevo intentando varios días.. gracias

    Responder
    • Hola Jorge,

      Nunca se me ha dado ese caso por lo que no sabría ahora mismo ayudarte, no obstante, si consigues solucionarlo te agradecería lo compartieras con la comunidad.

      Saludos.

      Responder
    • Hola Jose,

      No tengo ninguna entrada hecha a día de hoy que pueda ayudarte, no obstante, me lo apunto para en un futuro hacerla.

      Saludos.

      Responder

Deja un comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.