Permisos mínimos necesarios para que un administrador delegado forzar el cambio de contraseña en el siguiente procedimiento de inicio de sesión

Síntomas

De forma predeterminada, cuando usted, como administrador, delegar la capacidad de restablecer contraseñas para un usuario o grupo mediante la delegación de Asistente para Control, dicho usuario o grupo no tiene el permiso para forzar a un usuario, para quien se ha restablecido la contraseña, para cambiar su contraseña la próxima vez que el usuario inicie sesión. Si el usuario a quien se da el permiso para restablecer las contraseñas hace clic con el botón una cuenta de usuario, hace clic en Restablecer contraseñay, a continuación, hace clic para seleccionar la casilla de verificación el usuario debe cambiar la contraseña en el siguiente inicio de sesión , se restablece la contraseña del usuario de este último, sin embargo, este usuario no se fuerza a cambiar su contraseña la próxima vez que este usuario inicie sesión.

Causa

Este comportamiento se produce porque el usuario no tiene el permiso mínimo necesario que es necesario establecer la opción el usuario debe cambiar la contraseña en el siguiente inicio de sesión , que es el permiso escribir restricciones de cuenta en los objetos de usuario. Al delegar la capacidad de restablecer las contraseñas, el único permiso que se concede sobre el contenedor delegado es el permiso restablecer contraseña en objetos de usuario.

Solución

Puede utilizar el Asistente para delegación de Control para delegar el
Permiso Restablecer contraseña para el usuario delegado. Considerando que, para poder cambiar el indicador "El usuario debe cambiar la contraseña en próximo inicio de sesión", el usuario delegado debe tener permiso de escritura en los contenedores de usuarios. Sin embargo, el permiso de escritura proporciona el usuario delegado con permisos adicionales. En otras palabras, el permiso Escribir restricciones de cuenta es un permiso super que proporciona acceso a otras propiedades del usuario. La propiedad pwdLastSet puede utilizarse para obligar al usuario a cambiar su contraseña en el siguiente inicio de sesión. De forma predeterminada, los permisos individuales no son visibles. El filtrado de los permisos es controlado por valores en el archivo Dssec.dat. Para resolver este problema, puede utilizar los pasos siguientes para delegar permisos para sólo la propiedad Restablecer contraseña y pwdLastSet a un grupo definido por el usuario denominado Help Desk.
  1. Deshabilitar el filtro de los permisos de usuario:
    1. Haga clic en
      Inicio, haga clic en Ejecutar, tipo
      Dssec.dat en el cuadro Abrir y, a continuación, haga clic en
      OK.
    2. Haga clic en Abrir con, haga clic en
      El Bloc de notasy, a continuación, haga clic en Aceptar.
    3. En la sección [usuario] , edite el valor de pwdLastSet cambiando pwdLastSet = 7 a pwdLastSet = 0.
    4. Cierre el Bloc de notas.
    Nota: No cambie el valor de pwdLastSet en la sección [Computer] . De forma predeterminada, el valor de pwdLastSet no existe en la sección [usuario] del archivo Dssec.dat en Windows Server 2003. Por lo tanto, si está ejecutando Windows Server 2003, debe agregarlo manualmente.
  2. Delegar los permisos para el grupo de asistencia:
    1. Haga clic en
      Inicio, haga clic en Ejecutar, tipo
      dsa.msc en el cuadro Abrir cuadro y, a continuación, haga clic en Aceptar.
    2. Haga clic derecho en la unidad organizativa a la que desea delegar permisos y, a continuación, haga clic en Delegar Control.
    3. Haga clic en siguientey, a continuación, haga clic en
      Agregar.
    4. Haga clic en Help Desk, haga clic en Agregary, a continuación, haga clic en
      OK.
    5. Haga clic en siguiente, comprobar
      Crear una tarea personalizada para delegary, a continuación, haga clic en
      Siguiente.
    6. Haga clic en sólo los siguientes objetos en la carpeta, haga clic para activar la casilla de verificación objetos de usuario y, a continuación, haga clic en siguiente.
    7. Haga clic en General y las casillas de verificación específico de la propiedad .
    8. Haga clic para activar las casillas de verificación Restablecer contraseña, pwdLastSet de lecturay escritura pwdLastSet en el cuadro permiso .
    9. Haga clic en siguientey, a continuación, haga clic en
      Finalizar.
  3. Habilitar el filtro de los permisos de usuario:
    1. Haga clic en
      Inicio, haga clic en Ejecutar, tipo
      dssec.dat en el cuadro Abrir y, a continuación, haga clic en
      OK.
    2. Haga clic en Abrir con, haga clic en
      El Bloc de notasy, a continuación, haga clic en Aceptar.
    3. En la sección [usuario] , edite el valor de pwdLastSet cambiando pwdLastSet = 0 a pwdLastSet = 7.
    4. Cierre el Bloc de notas.
Además, si desea comprobar los cambios de seguridad, puede seguir estos pasos:
  1. Haga clic en
    Inicio, haga clic en Ejecutar, tipo
    dsa.mscy, a continuación, haga clic en Aceptar.
  2. En el menú Ver , seleccione Características avanzadas.
  3. Haga clic en la unidad organizativa que delegar permisos para y, a continuación, haga clic en Propiedades.
  4. Haga clic en la ficha seguridad , haga clic en el grupo de Asistencia y, a continuación, haga clic en Avanzadas.
  5. Haga clic en la propiedad de lectura y escritura en la
    Las entradas de permisosy, a continuación, haga clic en
    View/Edit.
  6. Puede ver que sólo lectura pwdLastSety las propiedades de escritura pwdLastSet se establecen en
    Permitir, pero la Asistencia no tiene acceso a otras propiedades.

Más información

Para obtener información adicional acerca de cómo delegar permisos, haga clic en los números de artículo siguientes para verlos en Microsoft Knowledge Base:
235531 problemas de seguridad predeterminada de delegación de Active Directory
229873 Asistente para Control de delegado no se puede utilizar para quitar grupos o usuarios
296490 cómo modificar las propiedades de un objeto filtradas

Propiedades

Id. de artículo: 296999 - Última revisión: 22 ene. 2017 - Revisión: 1

Comentarios