InicioCaracterísticasGestión Active DirectoryDelegar el restablecimiento de contraseña y desbloqueo de cuenta

Delegación de Active Directory: Restablecimiento de contraseña y desbloqueo de cuenta

Comenzar prueba gratis

La delegación de Windows Active Directory es crucial para la infraestructura de TI de cualquier organización, ya que proporciona una forma de delegar de forma segura las operaciones de gestión en los técnicos, al tiempo que garantiza que dispongan de los mínimos privilegios necesarios para llevar a cabo sus tareas. La función de delegación de ADManager Plus es granular y a la vez extensa, permitiéndole delegar permisos para dominios específicos o incluso OU específicas. Puede crear roles de delegación personalizados de acuerdo con las tareas para las que desee delegar permisos. Por lo tanto, si se pregunta cómo delegar los permisos de restablecimiento de contraseña y desbloqueo de cuenta en AD de forma segura, no busque más porque ADManager Plus puede hacerlo.

Delegar los permisos de restablecimiento de contraseña

En promedio, un tercio de todas las llamadas a la mesa de ayuda de TI se atribuyen al restablecimiento de contraseña. Cuando estas llamadas se producen una y otra vez, la productividad se ve afectada tanto para los empleados como para los administradores de TI.

Una solución que beneficiaría a ambas partes sería delegar el restablecimiento de contraseña de Active Directory a un técnico de la mesa de ayuda. ADManager Plus le permite:

  • Delegar en el mismo técnico los permisos para las tareas de restablecimiento de contraseña en todos los dominios necesarios de un bosque.
  • Controlar los restablecimientos de contraseña que realizan los técnicos con información como el estado, las marcas de tiempo y mucho más.
  • Usar roles personalizados para delegar el acceso basado en roles a los técnicos para que puedan realizar sólo las tareas necesarias. Los técnicos no podrán acceder a ninguna de las demás funciones de gestión de AD.

Pasos para delegar los permisos de restablecimiento de contraseña a los técnicos de la mesa de ayuda con ADManager Plus

  • Inicie sesión en ADManager Plus.
  • Navegue hasta Delegación > Técnico de la mesa de ayuda > Añadir nuevo técnico.
  • Seleccione el Dominio y las OU para las que desea delegar permisos de restablecimiento de contraseña.
  • Seleccione los usuarios o grupos para los que desea delegar el permiso de restablecimiento de contraseña haciendo clic en el botón Examinar.
  • Elija Restablecer contraseña en la sección Seleccionar roles de la mesa de ayuda.
  • Puede elegir las OU para las que el técnico puede realizar restablecimientos de contraseña en la sección Seleccionar OU.
  • Seleccione la opción Actuar como administrador si desea asignar permisos de administrador a los técnicos que se están creando.
  • Haga clic en Guardar.
Creating a Helpesk role to delegate password reset permissions in ADManager Plus

Delegar los permisos de desbloqueo de la cuenta de usuario

La mayoría de las organizaciones cuentan con una directiva de bloqueo de la cuenta para evitar ataques de fuerza bruta. Las directivas de bloqueo de la cuenta hacen que una cuenta sea inaccesible durante un periodo específico después de intentar ingresar una contraseña incorrecta un determinado número de veces. Cuando esto ocurre, los usuarios no pueden acceder a sus cuentas hasta que el administrador de TI las desbloquea.

Dado que los usuarios tienden a olvidar o escribir mal sus contraseñas con frecuencia, los bloqueos de la cuenta son algo habitual en muchas organizaciones. Esto significa que los bloqueos de la cuenta constituyen una parte importante de las llamadas a la mesa de ayuda de TI. ADManager Plus puede ayudarle a delegar los permisos para desbloquear las cuentas de usuario de AD haciendo lo siguiente:

  • Permitir a los técnicos realizar diferentes conjuntos de tareas en diferentes OU. Por ejemplo, un técnico puede restablecer contraseñas en la OU1, desbloquear cuentas de usuario en la OU2, crear y modificar grupos en la OU3, etc.
  • Delegar permisos a los técnicos para desbloquear las cuentas de usuario en varios dominios.
  • Permitirle crear sus propios roles personalizados para delegar permisos de restablecimiento de contraseña que se adaptan a su organización. Por ejemplo, puede crear un rol que permita al técnico desbloquear las cuentas de usuario, habilitar/deshabilitar las cuentas de equipo y habilitar los buzones de Exchange que estén deshabilitados.

Pasos para delegar los permisos de desbloqueo de la cuenta de usuario a los técnicos de la mesa de ayuda con ADManager Plus

  • Inicie sesión en ADManager Plus.
  • Navegue hasta Delegación > Técnico de la mesa de ayuda > Añadir nuevo técnico.
  • Seleccione el dominio y las OU para las que desea delegar permisos de restablecimiento de contraseña.
  • Seleccione los usuarios o grupos para los que desea delegar el permiso de restablecimiento de contraseña haciendo clic en el botón Examinar.
  • Elija Desbloquear usuarios en la sección Seleccionar roles de la mesa de ayuda.
  • Puede elegir las OU para las que el técnico puede realizar restablecimientos de contraseña en la sección Seleccionar OU.
  • Seleccione la opción Actuar como administrador si desea asignar permisos de administrador al técnico que se está creando.
  • Haga clic en Guardar.
Creating a Helpdesk role to delegate account unlock permissions in ADManager Plus

Aspectos destacados de la función de delegación en ADManager Plus

  • Modelo de delegación seguro y no invasivo: Los derechos o privilegios asignados a los técnicos son puramente a nivel de producto, y sus privilegios reales en Active Directory permanecen intactos.
  • Roles personalizables: Se puede crear una variedad de roles para permitir a los técnicos realizar diferentes tareas (por ejemplo: restablecer contraseñas, mover usuarios, generar informes de grupo, etc.).
  • Delegación de tareas basada en roles/perfiles a los técnicos de la mesa de ayuda: Sólo los módulos o funciones asignados a los técnicos serán visibles para ellos.
  • Administración específica de la OU: Permita a los técnicos realizar diferentes conjuntos de tareas en diferentes OU.
  • Delegación entre dominios/multidominios: Permita que los técnicos realicen las tareas designadas en varios dominios.
  • Informes de auditoría: Obtenga un historial de todas las acciones que ha realizado un técnico de la mesa de ayuda y de todas las acciones que se han realizado en un técnico o rol.

Si desea obtener más información sobre la delegación de permisos con ADManager Plus, puede encontrar ayuda aquí

 

Preguntas frecuentes

El hecho de asignar determinadas responsabilidades administrativas a otros usuarios o grupos en Active Directory se le conoce como delegación de Active Directory. Permite a los usuarios o grupos de usuarios gestionar acciones específicas en el dominio de Active Directory sin concederles privilegios administrativos completos.

Por ejemplo, se puede conceder a un gestor la capacidad de restablecer las contraseñas de sus subordinados directos. Esto distribuye las tareas administrativas y garantiza que las realicen las personas adecuadas, simplificando la gestión de AD.

Siga los pasos que se indican a continuación para ver los derechos de delegación:

  1. En la consola Usuarios y equipos, vaya a la pestaña Ver y asegúrese de que la opción Funciones avanzadas está marcada.
  2. A continuación, haga clic derecho en una OU y seleccione Propiedades.
  3. Navegue hasta la pestaña Seguridad para ver los permisos delegados.

Puede comprobar fácilmente los informes de delegación en ADManager Plus siguiendo los pasos que se indican a continuación:

  1. Haga clic en la pestaña Delegación.
  2. Haga clic en el enlace Informe de técnicos situado bajo Informes de la mesa de ayuda.
  3. Seleccione el técnico deseado de la lista o utilice la opción Buscar técnico para localizarlo.
  4. Alternativamente, se pueden utilizar filtros para especificar los criterios utilizados para generar el informe. Haga clic en el signo de filtro situado a la izquierda de Añadir/eliminar columnas, y especifique los criterios deseados.

Las mejores prácticas de delegación de AD son las siguientes:

  1. Para que la delegación sea exitosa, se requiere un diseño y una implementación adecuados de las OU con una colocación correcta de los objetos.
  2. Evite los grupos integrados, ya que tienen privilegios en todo el dominio, y en su lugar construya nuevos grupos específicamente para la delegación.
  3. Compruebe si hay alguna actividad sospechosa en su entorno que pueda indicar un uso indebido de los derechos delegados, como la elevación de privilegios, el acceso a datos confidenciales o la alteración de los ajustes de seguridad.
  4. Establezca una jerarquía mediante OU anidadas que delegue el control sobre los tipos de datos a distintos niveles de administradores, en donde los que están más arriba tienen más privilegios que los que están en las OU secundarias inferiores.
  5. Realice auditorías periódicas para determinar a quién se le han concedido privilegios administrativos en los distintos niveles de AD.
  6. Considere la posibilidad de cambiar a una estrategia de PAM con acceso justo a tiempo para evitar el abuso de los derechos de acceso permanentes, mejorar el control y reducir su superficie de ataque.

Enlaces destacados

Gestión masiva de usuarios de Active DirectoryModificación masiva de usuarios de Active DirectoryCreación masiva de usuarios de Active DirectoryAprovisionamiento de usuarios de Office 365Gestión de gruposGestión de contactosGestión de MS Office 365

Otras funciones

Gestión de Active Directory 

Gestione las cuentas de usuario de AD, Office 365, Exchange, Skype for Business y Google Workspace de forma individual o masiva, utilizando archivos CSV o plantillas inteligentes.

Gestión de contraseñas de Active Directory 

¡Restablezca la contraseña y establezca las propiedades de contraseña con una única consola web, sin comprometer la seguridad de su AD! ¡También puede delegar las tareas de restablecimiento de contraseña a los técnicos de la mesa de ayuda!

Informes de equipos de Active Directory 

Genere informes granulares sobre los objetos de equipo de AD hasta el más mínimo detalle. Monitoree... y modifique los atributos del equipo dentro del informe. Genere informes sobre sistemas operativos y equipos inactivos.

Gestión de Microsoft Exchange 

Cree y gestione los buzones de Exchange y configure los derechos de los buzones utilizando el sistema de gestión de Exchange de ADManager Plus. ¡Ahora compatible con Microsoft Exchange 2010!

Limpieza de Active Directory 

Deshágase de los objetos inactivos, obsoletos y no deseados en su Active Directory para hacerlo más seguro y eficiente... con la ayuda de las funciones de limpieza de AD de ADManager Plus.

Automatización de Active Directory 

Automatice completamente las tareas críticas de AD, como el aprovisionamiento de usuarios, la eliminación de usuarios inactivos, etc. También le permite secuenciar y ejecutar tareas de seguimiento y se integra con el flujo de trabajo para ofrecer una increíble automatización controlada.

¿Necesita otras funciones? Cuéntenos si desea que

ADManager Plus tenga otras funciones integradas, nos encantaría escucharlas. Haga clic aquí para continuar.