Windows Server: Delegación Permisos Administración Active Directory

En esta entrada voy a explicaros como podéis delegar permisos sobre vuestro Active Directory de forma general o sobre una OU en concreto para por ejemplo derivar tareas como puede ser desbloqueo de usuarios, cambios de contraseñas, etc…

Videotutorial paso a paso

Se que a muchos os gusta ver este tipo de tutoriales en formato video por lo que aquí os dejo el paso a paso en dicho formato. Si te gusta este tipo de contenidos y quieres apoyarme suscríbete al canal para estar al tanto de próximos vídeos.

Paso a paso en imágenes

En este ejemplo me voy a centrar en realizar una configuración para que un usuario pueda únicamente desbloquear usuarios y cambiar contraseñas sobre una OU concreta. A partir de aquí podréis adaptarlo a vuestras necesidades.

Delegar control a un usuario sobre una OU

En primer lugar nos iremos a la consola de Usuarios y equipos de Active Directory, pulsaremos con el botón derecho sobre la OU en la que queremos delegar y seleccionamos Delegar control.

Pulsamos en Siguiente para iniciar el asistente.

Seleccionamos el usuario o grupo sobre el que queremos delegar el control de nuestra OU.

Seleccionamos las tareas a delegar. Para nuestro ejemplo marcaremos Restablecer contraseñas de usuario y forzar el cambio de contraseña. Pulsamos Siguiente para continuar.

Comprobamos que todo es correcto y pulsamos en Finalizar.

Con esta configuración ya habremos delegado sobre el usuario/s o grupo/s seleccionados la posibilidad de restablecer o forzar el cambio de contraseñas de los usuarios que formen parte de la OU. Pero al principio os comenté que también íbamos a dar la posibilidad de desbloquear cuentas de usuarios y para ello tendremos que realizar una configuración adicional.

Nuevamente pulsaremos sobre nuestra OU con el botón derecho y en esta ocasión seleccionaremos Propiedades.

Seleccionaremos la pestaña Seguridad y pulsaremos sobre Opciones avanzadas.

Pulsamos sobre Agregar.

La siguiente pantalla nos brindará múltiples opciones para poder dar exactamente los permisos que queramos delegar. Para nuestro ejemplo como lo que queremos es permitir el desbloqueo de usuarios tendremos que buscar las propiedades Leer lockoutTime y Escribir lockoutTime, marcarlas y pulsar en Aceptar.

Y listo con esta sencilla configuración habremos delegado el permiso de cambiar contraseñas y desbloquear usuarios de las cuentas de usuarios o grupos seleccionados y podremos dedicarnos nosotros a tareas más complejas :).

Quitar delegación sobre un usuario o grupo

Por último me gustaría explicaros como podéis quitar la delegación sobre un usuario o grupo.

Nuevamente nos posicionaremos sobre nuestra OU y con el botón derecho pulsaremos sobre Propiedades.

Nos iremos a la pestaña Seguridad, seleccionaremos al usuario o grupo sobre el que queremos quitar la delegación y pulsaremos en Quitar. Finalmente le damos a Aceptar para que se apliquen los cambios y de esta forma tan sencilla habremos quitado la delegación de permisos a ese usuario o grupo.

En la próxima entrada os explicaré como podemos crear una vista para que el usuario sobre el que hemos delegado sólo pueda ver los usuarios de la OU sobre la que le hemos concedido permisos. Sin esta vista, debido a la arquitectura de Active Directory, el usuario sobre el que hemos delegado podrá ver todas nuestras OU y usuarios aunque sólo podrá cambiar contraseñas y desbloquear cuentas de usuarios pertenecientes a la OU sobre la que le hemos delegado.

Espero os haya servido de utilidad.

6 comentarios en «Windows Server: Delegación Permisos Administración Active Directory»

  1. Lo primero gracias por tu aporte, llevo horas buscando alguna explicación sencilla y en castellano, y aparece esta 😀

    Te quería comentar que la primera parte bien, pero cuando hay que seleccionar la OU y botón dcho propiedades, a mi me aparece «General, Managed By y COM+», lo que tu comentas no me aparece y ya me estoy volviendo loco :'(

    Gracias por el artículo y saludos!

    Responder
    • Hola akil3s,

      Tiene pinta que la cuenta de usuario con la que te conectas al servidor tenga permisos limitados o tenga aplicada alguna política de seguridad que haga que no te aparezca esta pestaña ya que la pestaña de seguridad, que sino me equivoco es la que no te aparece, viene con defecto con Windows y no hay nada adicional que hacer para que aparezca. ¿Puedes hacer la prueba con la cuenta del administrador de dominio?. Si con esta última te sale entonces es que tu usuario tiene aplicada restricciones.

      Saludos.

      Responder
      • Hola Sergio, gracias por responder tan rápido.

        Estoy conectado como un usuario con privilegios de admin del dominio. Además, he probado con la cuenta de administrador (de dominio) y me pasa lo mismo. No puedo adjuntarte imágenes, pero creeme que he probado con ambos usuarios (y un 3º con permisos también de admin del dominio) y no aparece.

        No te preocupes, sigo investigando. Gracias por tu tiempo!

        Responder
        • Pues no sabría decirte la verdad porque es bastante rara la casuística que comentas y nunca se me ha dado el caso.
          Siento no poder serte de más ayuda pero sino te importa y consigues solucionarlo te agradecería lo compartieras por si a alguien más le ocurre el caso y le puede ser de utilidad y ya de camino sacio mi curiosidad porque me parece bastante raro y curioso el tema.

          Responder

Deja un comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

A %d blogueros les gusta esto: