Tengo una pregunta sobre el permiso del directorio activo para cambiar la contraseña. ¿Es posible revocar el permiso para cambiar la contraseña de usuarios de una unidad organizativa específica?
¿Cómo puedo realizar esta tarea? Sé que se puede hacer para un grupo específico de usuarios, pero ¿es posible para usuarios de una unidad organizativa específica?
ACTUALIZAR
Gracias por todas sus respuestas. Fueron de gran ayuda. Desafortunadamente no puedo votar estas respuestas debido a mi baja reputación;)
El 95% de los usuarios están en la unidad organizativa sobre la que escribo. Estoy pensando en eliminar el permiso para cambiar contraseña del grupo Todos y crear un grupo para usuarios que puedan cambiar sus contraseñas. El problema es que los usuarios de esta unidad organizativa están en otra aplicación y deben cambiar su contraseña usando esta aplicación, no en AD. Los usuarios que no están en esta OU solo están en AD, por lo que pueden cambiar sus contraseñas en AD.
¿Crees que sería una buena solución o habrá problemas?
Gracias por la ayuda.
Respuesta1
Las respuestas de John Rennie y Sam Cogan (como dice tan acertadamente John) son "trucos" en la medida en que intentan deshabilitar la interfaz de usuario para cambiar contraseñas, pero en realidad no eliminan la capacidad del usuario de cambiar su contraseña.
Creo que está buscando un cambio en los permisos que Active Directory establece de forma predeterminada en la unidad organizativa donde se encuentran las cuentas de usuario. Voy a advertirte contra eso. Dado que Microsoft ya proporciona esta funcionalidad a través de un atributo en los objetos de la cuenta de usuario, es realmente mejor usar ese atributo ya proporcionado que cambiar los permisos de AD. Es probable que pueda encontrar un permiso que funcione, y también es igualmente probable que el sistema operativo no muestre mensajes útiles.
Realmente debería ser que todos los usuarios afectados utilicen Usuarios y Computadoras de Active Directory y modifiquen las propiedades de las cuentas de usuario en masa. La respuesta de Dart es funcionalmente la misma que seleccionar todas las cuentas de usuario y configurar gráficamente su "El usuario no puede cambiar la contraseña". Si te gusta más la línea de comandos, hazlo.
Existe una funcionalidad para hacer esto con un "Derecho extendido" usando permisos de Active Directory en Windows 2003. No encuentro buena documentación sobre esta característica. Aquí hay algunos antecedentes sobre los "derechos extendidos" asociados con el cambio de contraseñas, el primero relacionado con el "Modo de aplicación" de Active Directory (o como lo llame Microsoft esta semana):
Intenté verificar la respuesta de Massimo colocando un permiso "AUTO - Denegar - Objetos de usuario - Derecho extendido: Cambiar contraseña" en una unidad organizativa en mi directorio activo W2K3 de prueba (nivel funcional de dominio de Windows 2003) y descubrí que el usuario se opone a eso o por debajo de ese permiso. Las unidades organizativas aún podían cambiar sus contraseñas utilizando la función de cambio de contraseña de la GUI. Al observar cada objeto de usuario, pude ver el permiso "Denegar" heredado, pero Active Directory parecía ignorarlo.
Simplemente eliminar el permiso "AUTO - Permitir - Cambiar contraseña" en un objeto de usuario me dio la misma funcionalidad que en la prueba anterior. Al usuario todavía se le permitía cambiar su contraseña.
Yo diría, sobre esa base, que la respuesta de Massimo tampoco hace lo que quieres.
encontréEste artículode Microsoft y lo probé. Cuando dirijo el script a un objeto de usuario individual, se comporta como se desea yel usuario no puede cambiar su contraseña. Sin embargo, esto no le resulta de mucha ayuda, ya que desea configurarlo por unidad organizativa.
Sin embargo, cuando apunto ese script de Microsoft a una unidad organizativa, el comportamiento durante más tiempo es el esperado. (Además, si modifico las ACE agregadas a la unidad organizativa para aplicarlas a "Este objeto y objetos secundarios" en lugar de "Solo este objeto", como lo otorga el script, el comportamientoaúnno es como se esperaba.)
Realmente me estoy golpeando la cabeza contra la pared con este. Esto parece una peculiaridad del comportamiento de Active Directory que no está bien documentada. he pasado por el"Servicios de dominio de Active Directory"yEsquema de Directorio Activodocumentación y no encuentro documentación para describir este comportamiento.
Respuesta2
Verhttp://support.microsoft.com/kb/324744
Sin embargo, tenga en cuenta que esto es un truco. No impide que los usuarios cambien sus contraseñas, simplemente elimina la opción de hacerlo desde el cuadro de diálogo Ctrl-Alt-Supr. Los usuarios aún pueden usar un cambiador de contraseña de línea de comando.
J.R.
Respuesta3
Sí, puedes hacerlo a través de la política de grupo. Abra el editor de políticas de grupo para la unidad organizativa que desea restringir (haga clic con el botón derecho en OU, propiedades, pestaña de política de grupo). Cree una nueva política o edite una existente y vaya a:
User Configuration -> Administrative Templates -> System
Aquí, seleccione Ctrl+Alt+Supr Opciones, en el panel derecho, habilite la opción 'Eliminar cambio de contraseña'.
Cierre el editor de políticas de grupo. Para asegurarse de que se aplique inmediatamente, abra un símbolo del sistema y ejecute
gpupdate /target:user /force
Respuesta4
Puede eliminar el permiso para hacer esto para un usuario específico eliminando (o negando explícitamente) "cambiar contraseña" de los derechos de usuario asignados a "SELF".
Debe editar manualmente la ACL en el propio objeto de usuario; puede acceder a él habilitando funciones avanzadas en la consola Usuarios y equipos de Active Directory (Ver -> Funciones avanzadas) y luego abriendo las propiedades del usuario y seleccionando "Seguridad".