Habilitar el atributo “El usuario no puede cambiar la contraseña” de varios usuarios en Directorio Activo

Para habilitar el atributo “El usuario no puede cambiar la contraseña” de todos los usuarios de una OU del dominio se haría con el siguiente script:

Import-Module Activedirectory

$fecha= Get-Date -Format M-d-yyyy
$fecha>C:\script\PonerAtributoPassword\Usuarios.txt

$Users1 = (Get-ADUser –filter * -SearchBase "OU=UnidadOrganizativa,DC=Dominio,DC=es" -properties * -Server servidor.dominio.es:3268| select-object UserprincipalName,SamAccountName)

Foreach ($User in $Users1) {
            Set-ADUser -Identity $user.SamAccountName -CannotChangePassword $true -PasswordNeverExpires $true -Server servidor.dominio.es
            $user>>C:\script\PonerAtributoPassword\Usuarios.txt
}

 

Mensaje de error si selecciona un controlador de dominio cuando se utiliza el Asistente para modelado de directivas de grupo: «Acceso denegado», en caso de tener los permisos delegados

Método 1: Si tenemos pocos controladores de dominio, realizarlo en cada uno

  1. Haga clic en Inicio, haga clic en Ejecutar y ponga:
    c: \WINDOWS\system32\Com\comexp.msc y, a continuación, haga clic en Aceptar.
  2. En el panel izquierdo, expanda Servicios de componente y, a continuación, expanda equipos.
  3. Haga clic en Mi PC y, a continuación, haga clic en:
    Propiedades.
  4. En la ficha Seguridad COM, haga clic en:
    Editar límites en el campo Inicio y permisos de activación .
  5. Haga clic en el nombre de usuario en el campo nombres de grupos o usuarios qué desea poder ejecutar el Asistente para modelado de directivas de grupo y, a continuación, haga clic para seleccionar Permitir para el:
    Permisos de Activación remota .
  6. Haga clic en Aceptar dos veces.

Método 2: Si tenemos muchos controladores de dominio del dominio

  1. Crear una nueva directiva de grupo en la unidad organizativa (OU) del controlador de dominio.
  2. En la consola de directivas de grupo de controladores de dominio, seleccione:
    Configuración del equipo\Configuración de Windows\Configuración de seguridad\directivas locales\Opciones de seguridad.
  3. En la lista de directivas disponibles, haga doble clic en:
    DCOM: restricciones de inicio de equipo en sintaxis de lenguaje de definición de descriptores de seguridad (SDDL). Haga clic en modificar seguridad, haga clic en el nombre de usuario en el campo nombres de grupos o usuarios que desea que puedan ejecutar el Asistente para modelado de directivas de grupo y, a continuación, haga clic para seleccionar: Permitir para el permiso Activación remota.
  4. Haga clic en Aceptar dos veces.
  5. Editor de objetos de directiva de grupo de salida

Delegar permisos para generar datos de Modelación de directivas de grupo

Para delegar permisos para generar datos de Modelación de directivas de grupo:

  1. En el árbol de consola de Consola de administración de directivas de grupo (GPMC), haga clic en el dominio o la unidad organizativa para los que desee delegar permisos de Modelación de directivas de grupo.
  2. En el panel de resultados, haga clic en la ficha Delegación.
  3. En el cuadro Permisos, seleccione Realizar análisis de Modelación de directivas de grupo para agregar un nuevo grupo o usuario a la lista de permisos.
  4. En la ficha Delegación, haga clic en Agregar.
  5. En el cuadro de diálogo Seleccionar usuarios, equipos o grupos, haga clic en Tipos de objeto, seleccione los tipos de objeto en los que desea delegar permisos para el dominio, sitio o unidad organizativa y, después, haga clic en Aceptar.
  6. Haga clic en Ubicaciones, seleccione Todo el directorio, o bien el dominio o la unidad organizativa que contiene el objeto en el que desea delegar los permisos y, a continuación, haga clic en Aceptar.
  7. En el cuadro e­­scriba el nombre de objeto a seleccionar, busque el nombre del objeto en el que desea delegar los permisos mediante una de las siguientes acciones:
    • Si conoce el nombre, escríbalo y haga clic de nuevo en Aceptar.
    • Para buscar el nombre, haga clic en Opciones avanzadas, escriba los criterios de búsqueda, haga clic en Buscar ahora, seleccione el nombre de la lista desplegable, haga clic en Aceptar y vuelva a hacer clic en Aceptar.
  1. En el cuadro de diálogo Agregar grupo o usuario, en la lista desplegable Permisos, seleccione el nivel en el que desea que se apliquen los permisos para este grupo o usuario y, a continuación, haga clic en Aceptar.