Cómo desbloquear cuentas de dominio de Active Directory
Los usuarios pueden quedar bloqueados de sus cuentas de AD si se especifican contraseñas incorrectas un número predefinido de veces. Para que esos usuarios recuperen el acceso a sus cuentas, un administrador deberá desbloquearlas.
A pesar de que se pueden desbloquear cuentas individualmente mediante la GUI de la consola Usuarios y equipos de Active Directory, no es posible desbloquear varias cuentas de usuario simultáneamente. Puede desbloquear simultáneamente varias cuentas bloqueadas en un dominio utilizando PowerShell; sin embargo, para ello es necesario tener conocimientos de scripting. Como alternativa, puede usar herramientas como ManageEngine ADSelfService Plus para desbloquear simultáneamente varias cuentas de usuario, sin necesidad de tener conocimientos de scripting.
A continuación se muestra una comparación entre el desbloqueo de cuentas de dominio de Active Directory utilizando Windows PowerShell y ADSelfService Plus:
Con PowerShell
- Desbloquear un solo usuario de Active Directory
El siguiente script de PowerShell se puede usar para desbloquear una cuenta de AD individual usando el atributo samAccountName:Unlock-ADAccount -Identity samAccountName
Copied - Desbloquear todos los usuarios de AD de un dominio
Este script de PowerShell se puede usar para desbloquear todas las cuentas de usuario de AD bloqueadas en el dominio:Search-ADAccount -Lockedout | Unlock-AdAccount
Copied
Desbloquear usuarios por pertenencia a unidades organizativas y a grupos
No puede desbloquear cuentas de AD por pertenencia a unidades organizativas o grupos usando scripts de PowerShell.
Con ADSelfService Plus
Pasos para permitir a los usuarios desbloquear sus cuentas por sí mismos
- Desbloqueo de cuentas de autoservicio, es decir, configurar el desbloqueo de cuentas sin la intervención del administrador en tiempo real
- Vaya al portal de administración de ADSelfService Plus.
- Vaya a Configuración > Autoservicio > Configuración de directivas.
- Seleccione Desbloqueo de cuentas.
- Haga clic en Seleccionar unidades organizativas/grupos para seleccionar de forma granular qué conjuntos de usuarios deben recibir la capacidad de desbloqueo de cuentas de autoservicio.
- Haga clic en Guardar.
- Desbloquear todos los usuarios de un dominio
- Vaya al portal de administración de ADSelfService Plus.
- Vaya a a Configuración > Autoservicio > Configuración de directivas > Avanzado.
- Marque la casilla casilla Desbloquea automáticamente cuentas bloqueadas de su dominio.
- Haga clic en Aceptar.
Pasos para desbloquear varias cuentas simultáneamente (requiere intervención del administrador)
¿Cuáles son las limitaciones de Windows PowerShell a la hora de desbloquear cuentas de Active Directory?
- PowerShell se puede usar para desbloquear cuentas de Active Directory individuales, así como todas las cuentas bloqueadas de un dominio, pero no hay soporte para que los usuarios finales desbloqueen ellos mismos sus cuentas bloqueadas desde la pantalla de inicio de sesión de Windows o sus teléfonos móviles.
- Los administradores no pueden usar PowerShell para desbloquear cuentas de Active Directory según las pertenencias a unidades organizativas y a grupos.
- La creación de múltiples programadores automáticos de desbloqueo de cuentas de Active Directory a través de PowerShell para diferentes conjuntos de usuarios es un proceso muy laborioso.
Ventajas de ADSelfService Plus
- Reducción de costes
Reduce los gastos de TI al eliminar la principal fuente de tickets al servicio de asistencia, es decir, el desbloqueo de cuentas de Active Directory.
- Mejora la seguridad de TI
Ofrece 19 tipos de técnicas avanzadas de autenticación multifactor, como biometría y YubiKey, para autoservicio de contraseñas.
- Aplicación universal
Los administradores pueden aplicar el desbloqueo de cuentas de autoservicio tanto para Active Directory como para aplicaciones en la nube.
- Mejora la experiencia del usuario
Elimina el tiempo de espera ya que permite a los usuarios desbloquear sus cuentas AD desde múltiples puntos de acceso.
