Cómo delegar el permiso para desbloquear cuenta

En este artículo se aplica a Windows 2000. De soporte técnico para Windows 2000 finaliza el 13 de julio de 2010. El Centro de soluciones de fin de soporte de Windows 2000 es un punto de partida para planear la estrategia de migración desde Windows 2000. Para obtener más información, consulte la Directiva de ciclo de vida de soporte técnico de Microsoft.

Resumen

En este artículo se describe el proceso para delegar el derecho para desbloquear cuentas de usuario bloqueado a un determinado grupo o usuario en Active Directory.

Más información

Para mostrar la cuenta desbloquear (lockoutTime) adecuado para el Asistente para controles de delegado:
  1. En el equipo de Windows 2000 en el que va a ejecutar la consola de Active Directory Users and Computers, abra el archivo %Systemroot%\System32\Dssec.dat con Microsoft WordPad.
  2. En el menú Edición , utilice el comando Buscar para localizar [usuario].
  3. En la sección usuario , busque la entrada de lockoutTime. Las entradas aparecen en orden alfabético.
  4. Cambie el valor de la entrada de lockoutTime de lockoutTime = 7 a lockoutTime = 0.
  5. En el menú Archivo, haga clic en Guardar como. Cuando aparezca el mensaje de advertencia de formato, haga clic en Aceptar. Los derechos de usuario de lectura y escritura lockoutTime deben ser seleccionables en el Asistente para controles de delegado.
Para delegar el derecho a un usuario o grupo:

  1. Crear la cuenta de usuario o grupo que desea tiene derecho a desbloquear cuentas de usuario en Active Directory Users y equipos (por ejemplo, administradores de asistencia al cliente ayuda).
  2. (Ratón) en el dominio de Active Directory Users and Computers y, a continuación, haga clic en Delegar Control en el menú que se muestra.
  3. Se debería mostrar el Asistente para delegación de Control. En el cuadro de diálogo Bienvenido , haga clic en siguiente.
  4. En el cuadro de diálogo usuarios y grupos , haga clic en Agregar. Seleccione el grupo en la lista que desea otorgar el derecho para desbloquear cuentas y, a continuación, haga clic en Aceptar. En el cuadro de diálogo usuarios y grupos , haga clic en siguiente.
  5. En el cuadro de diálogo de tareas que se delegarán , haga clic en crear una tarea personalizada para delegary, a continuación, haga clic en siguiente.
  6. En el cuadro de diálogo Tipo de objeto de Active Directory , haga clic en sólo los siguientes objetos en la carpeta:. En la lista, haga clic en objetos de usuario (la última entrada en la lista) y, a continuación, haga clic en siguiente.
  7. En el cuadro de diálogo permisos , haga clic para desactivar la casilla de verificación General y, a continuación, haga clic para seleccionar la casilla de verificación específico de la propiedad . En la lista permisos , haga clic para activar la casilla de verificación lectura lockoutTime , haga clic para activar la casilla de verificación escribir lockoutTime y, a continuación, haga clic en siguiente.
  8. En el cuadro de diálogo Finalización del Asistente para delegación de Control , haga clic en Finalizar.
Los pasos de este artículo pueden delegar la lockoutTime cuenta leer y escribir lockoutTime derecho a un usuario o grupo para un dominio específico o una unidad organizativa (OU). Como directivas de cuenta son específicos del dominio, la directiva de bloqueo de cuenta propia sólo puede implementarse en todo el dominio. Cualquier usuario o grupo que se ha dado permiso para leer y escribir el atributo de LockoutTime para una unidad organizativa o en otro contenedor puede desbloquear cuentas de usuario que residen en ese contenedor. El usuario o grupo que se ha dado este permiso no tiene que residen en el contenedor en la que tiene permiso.

Esta delegación no afecta a los derechos o las directivas en otros dominios, incluso en el mismo bosque, o si este dominio es la raíz de un bosque.

Referencias

Para obtener más información acerca de las directivas de cuenta en Windows 2000, haga clic en los números de artículo siguientes para verlos en Microsoft Knowledge Base:

255550 configurar directivas de cuenta en Active Directory

817433 los permisos delegados no están disponibles y la herencia está deshabilitada automáticamente

306398 objeto AdminSDHolder afecta a la delegación del Control de cuentas de administrador pasadas

232199 descripción y actualización del objeto AdminSDHolder de Active Directory

Propiedades

Id. de artículo: 294952 - Última revisión: 22 ene. 2017 - Revisión: 1

Comentarios