meta data de esta página
  •  

A veces nos puede interesa delegar una serie de permisos sobre una unidad organizativa OU, pero queremos que un determinado usuario de esa OU no se le aplique esa delegación.

Por ejemplo tenemos un grupo con permisos para desbloquear y resetear contraseñas de usuario, pero queremos que sobre el gerente de la empresa no puedan hacerlo.

ATENCIÓN Los pasos que vienen a continuación son peligrosos ya que hay que editar a mano el directorio activo

Lo primero de todo es instalar el ADSI edit que viene con las herramientas de soporte (support tools)

Ejecutamos el programa como administrador del dominio y navegamos hasta el usuario sobre el que no queremos que se aplique la delegación. Pulsamos el botón derecho→propiedades

Modificamos la propiedad adminCount y ponemos el valor a 1

cambiar admincount a uno es indicar que dicho usuario pertenece a uno de los grupos protegidos y por tanto no va a heredar los permisos salvo los relativos a dichos grupos restringidos.

Además de modificar dicho atributo, también debemos de verificar en la pestaña seguridad que permisos tiene ya asignados y desmarcar, dentro de opciones avanzadas, la casilla “Permitir que los permisos heredables del primario se propagen a este objeto……..”