Windows Server: Delegación Permisos Administración Active Directory

En esta entrada voy a explicaros como podéis delegar permisos sobre vuestro Active Directory de forma general o sobre una OU en concreto para por ejemplo derivar tareas como puede ser desbloqueo de usuarios, cambios de contraseñas, etc…

En este ejemplo me voy a centrar en realizar una configuración para que un usuario pueda únicamente desbloquear usuarios y cambiar contraseñas sobre una OU concreta. A partir de aquí podréis adaptarlo a vuestras necesidades.

Delegar control a un usuario sobre una OU

En primer lugar nos iremos a la consola de Usuarios y equipos de Active Directory, pulsaremos con el botón derecho sobre la OU en la que queremos delegar y seleccionamos Delegar control.

Pulsamos en Siguiente para iniciar el asistente.

Seleccionamos el usuario o grupo sobre el que queremos delegar el control de nuestra OU.

Seleccionamos las tareas a delegar. Para nuestro ejemplo marcaremos Restablecer contraseñas de usuario y forzar el cambio de contraseña. Pulsamos Siguiente para continuar.

Comprobamos que todo es correcto y pulsamos en Finalizar.

Con esta configuración ya habremos delegado sobre el usuario/s o grupo/s seleccionados la posibilidad de restablecer o forzar el cambio de contraseñas de los usuarios que formen parte de la OU. Pero al principio os comenté que también íbamos a dar la posibilidad de desbloquear cuentas de usuarios y para ello tendremos que realizar una configuración adicional.

Nuevamente pulsaremos sobre nuestra OU con el botón derecho y en esta ocasión seleccionaremos Propiedades.

Seleccionaremos la pestaña Seguridad y pulsaremos sobre Opciones avanzadas.

Pulsamos sobre Agregar.

La siguiente pantalla nos brindará múltiples opciones para poder dar exactamente los permisos que queramos delegar. Para nuestro ejemplo como lo que queremos es permitir el desbloqueo de usuarios tendremos que buscar las propiedades Leer lockoutTime y Escribir lockoutTime, marcarlas y pulsar en Aceptar.

Y listo con esta sencilla configuración habremos delegado el permiso de cambiar contraseñas y desbloquear usuarios de las cuentas de usuarios o grupos seleccionados y podremos dedicarnos nosotros a tareas más complejas :).

Quitar delegación sobre un usuario o grupo

Por último me gustaría explicaros como podéis quitar la delegación sobre un usuario o grupo.

Nuevamente nos posicionaremos sobre nuestra OU y con el botón derecho pulsaremos sobre Propiedades.

Nos iremos a la pestaña Seguridad, seleccionaremos al usuario o grupo sobre el que queremos quitar la delegación y pulsaremos en Quitar. Finalmente le damos a Aceptar para que se apliquen los cambios y de esta forma tan sencilla habremos quitado la delegación de permisos a ese usuario o grupo.

En la próxima entrada os explicaré como podemos crear una vista para que el usuario sobre el que hemos delegado sólo pueda ver los usuarios de la OU sobre la que le hemos concedido permisos. Sin esta vista, debido a la arquitectura de Active Directory, el usuario sobre el que hemos delegado podrá ver todas nuestras OU y usuarios aunque sólo podrá cambiar contraseñas y desbloquear cuentas de usuarios pertenecientes a la OU sobre la que le hemos delegado.

Espero os haya servido de utilidad.

Deja un comentario