Permisos mínimos necesarios para que un administrador delegado para forzar el cambio de contraseña en el siguiente procedimiento de inicio de sesión

Seleccione idioma Seleccione idioma
Id. de artículo: 296999 - Ver los productos a los que se aplica este artículo
Expandir todo | Contraer todo

Síntomas

De forma predeterminada, cuando usted, como administrador, delegar la capacidad para restablecer las contraseñas a un usuario o grupo utilizando Asistente la para delegación de control, ese usuario o grupo no tiene el permiso para forzar a un usuario, para el que se ha restablecido la contraseña, cambiar su contraseña la próxima vez que el usuario inicia sesión. Si el usuario a quien le otorga el permiso para restablecer contraseñas hace clic con el botón secundario en una cuenta de usuario, hace clic en Restablecer contraseña y, a continuación, hace clic para activar la casilla el usuario debe cambiar la contraseña en próximo inicio de sesión , se restablece la última contraseña del usuario, sin embargo, este usuario no se obliga a cambiar su contraseña la próxima vez que este usuario inicie sesión.

Causa

Este comportamiento se produce porque el usuario no tiene el permiso mínimo necesario que es necesario establecer la opción el usuario debe cambiar la contraseña en el siguiente inicio de sesión , que es el permiso escribir restricciones de cuenta en los objetos de usuario. Al delegar la capacidad de restablecer contraseñas, sólo permiso que se concede sobre el contenedor delegado es el permiso Restablecer contraseña en los objetos de usuario.

Solución

Puede utilizar el Asistente para delegación de control para delegar la Restablecer contraseña permiso para el usuario delegado. Mientras que, para cambiar el indicador "El usuario debe cambiar la contraseña en el siguiente inicio de sesión", el usuario delegado debe tener permiso de escritura para los contenedores de usuario. Sin embargo, el permiso de escritura proporciona el usuario delegado con permisos adicionales. En otras palabras, las Restricciones de cuentas de amortización de permiso es un permiso super que proporciona acceso a algunas propiedades de usuario. La propiedad pwdLastSet se puede utilizar para obligar al usuario cambiar su contraseña en el siguiente inicio de sesión. De forma predeterminada, los permisos individuales no son visibles. El filtrado de los permisos se controla mediante valores en el archivo Dssec.dat. Para resolver este problema, puede utilizar los siguientes pasos para delegar permisos para sólo la propiedad Reset Password y pwdLastSet a un grupo user-defined denominado Help Desk .
  1. Deshabilitar el filtro de los permisos de usuario:
    1. Haga clic en Inicio , haga clic en Ejecutar , escriba Dssec.dat en el cuadro Abrir y, a continuación, haga clic en Aceptar .
    2. Haga clic en Abrir con , haga clic en el Bloc de notas y, a continuación, haga clic en Aceptar .
    3. En la sección [usuario] , edite el valor de pwdLastSet cambiando pwdLastSet = 7 a pwdLastSet = 0 .
    4. Salga del Bloc de notas.
    Nota No cambie el valor de pwdLastSet en la sección [Computer] . De forma predeterminada, el valor de pwdLastSet no existe en la sección [usuario] del archivo Dssec.dat en Windows Server 2003. Por lo tanto, si está ejecutando Windows Server 2003, deberá agregarlo manualmente.
  2. Delegar permisos al grupo Help Desk:
    1. Haga clic en Inicio , haga clic en Ejecutar , escriba dsa.msc en el cuadro Abrir y, a continuación, haga clic en Aceptar .
    2. Haga clic con el botón secundario en la que desea delegar permisos de unidad organizativa y, a continuación, haga clic en Delegar Control .
    3. Haga clic en siguiente y, a continuación, haga clic en Agregar .
    4. Haga clic en Asistencia , haga clic en Agregar y a continuación, haga clic en Aceptar .
    5. Haga clic en siguiente , consulte crear una tarea personalizada para delegar y, a continuación, haga clic en siguiente .
    6. Haga clic en sólo los siguientes objetos en la carpeta , seleccione los objetos de usuario y, a continuación, haga clic en siguiente .
    7. Haga clic para seleccionar el General y las casillas de verificación específico de la propiedad .
    8. Haga clic para seleccionar las casillas de verificación Restablecer contraseña , pwdLastSet de lectura y escritura pwdLastSet en el permiso cuadro.
    9. Haga clic en siguiente y, a continuación, haga clic en Finalizar .
  3. Habilitar el filtro de los permisos de usuario:
    1. Haga clic en Inicio , haga clic en Ejecutar , escriba dssec.dat en el cuadro Abrir y, a continuación, haga clic en Aceptar .
    2. Haga clic en Abrir con , haga clic en el Bloc de notas y, a continuación, haga clic en Aceptar .
    3. En la sección [usuario] , edite el valor de pwdLastSet cambiando pwdLastSet = 0 a pwdLastSet = 7 .
    4. Salga del Bloc de notas.
Además, si desea comprobar los cambios de seguridad, puede seguir estos pasos:
  1. Haga clic en Inicio , haga clic en Ejecutar , escriba dsa.msc y, a continuación, haga clic en Aceptar .
  2. En el menú Ver , seleccione características avanzadas .
  3. Haga clic con el botón secundario del mouse en la unidad organizativa que delegar permisos para y haga clic en Propiedades .
  4. Haga clic en la ficha seguridad , haga clic en el grupo de Asistencia y a continuación, haga clic en Avanzadas .
  5. Haga clic en Propiedades de lectura y escritura en los Permisos y haga clic Ver o modificar
  6. Puede ver que sólo la lectura pwdLastSet y las propiedades escribir pwdLastSet se establecen en Permitir , pero la Asistencia no tiene acceso a las demás propiedades.

Más información

Para obtener información adicional acerca de cómo delegar permisos, haga clic en los números de artículo siguientes para verlos en Microsoft Knowledge Base:
235531Problemas de seguridad predeterminada de delegación de Active Directory
229873Asistente para controles de delegado no se pueden utilizar para quitar grupos o usuarios
296490Cómo modificar las propiedades filtradas de un objeto

Propiedades

Id. de artículo: 296999 - Última revisión: martes, 31 de octubre de 2006 - Versión: 3.2
La información de este artículo se refiere a:
  • Microsoft Windows 2000 Server SP1
  • Microsoft Windows 2000 Advanced Server SP1
Palabras clave: 
kbmt kbacl kbprb KB296999 KbMtes
Traducción automática
IMPORTANTE: Este artículo ha sido traducido por un software de traducción automática de Microsoft (http://support.microsoft.com/gp/mtdetails) en lugar de un traductor humano. Microsoft le ofrece artículos traducidos por un traductor humano y artículos traducidos automáticamente para que tenga acceso en su propio idioma a todos los artículos de nuestra base de conocimientos (Knowledge Base). Sin embargo, los artículos traducidos automáticamente pueden contener errores en el vocabulario, la sintaxis o la gramática, como los que un extranjero podría cometer al hablar el idioma. Microsoft no se hace responsable de cualquier imprecisión, error o daño ocasionado por una mala traducción del contenido o como consecuencia de su utilización por nuestros clientes. Microsoft suele actualizar el software de traducción frecuentemente.
Haga clic aquí para ver el artículo original (en inglés): 296999

Enviar comentarios

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com