Buenas!
antes que nada quiero aconsejarte que nunca permitas que un usuario común ingrese al server, ya sea por escritorio remoto / terminal server o por consola. Con borrarte un par de archivos que no deben, te complican un día de trabajo.
Ahora bien, volviendo a tu consulta, lo que debes hacer es que estas personas puedan realizar lo que tu quieres desde sus respectivas PCs.
Para ello debes instalar dos herramientas en cada una de sus máquinas.
Una es el MMC 3.0. Lo descargas desde:(
http://www.microsoft.com/downloads/details.aspx?displaylang=es&FamilyID=61fc1c66-06f2-463c-82a2-cf20902ffae0)
La segunda es el adminpak.msi. Este páquete se encuentra en tu servidor en la carpeta C:\Windows\Sistem32\adminpak.msi Desde ejecutar por medio del path UNC puedes realizar la instalación de forma muy sencilla.
Con esto logras que estas personas instalen en sus máquinas las herramientas administrativas de Active Directory. Una vez instaladas si querés podés borrarles todas aquellas que herramientas que no quieres que utilicen.
Luego viene la parte de la delegación. Empezaremos por delegar el permisos de desbloquear cuentas de usuarios. Sigue estos pasos que son muy simples, por más que parezca un lío.:
1. Crea la cuenta de grupo en la que desea tener el derecho a desbloquear cuenta de usuario en Usuarios y equipos de Active Directory (por ejemplo Admins de Help Desk). Luego haz miembros de este grupo a las personas a las cuales deseas delegarles esta tarea.
2. Hacé click con el botón secundario en la unidad organizativa y a continuación, hacé click en Delegar control en el menú que aparece.
3. Se debería mostrar el Asistente para delegación de control. En el cuadro de diálogo Pantalla de bienvenida, hacé click en Siguiente.
4. En el cuadro de diálogo Usuarios y grupos, haga clic en Agregar. Seleccioná el grupo en la lista en la que desea dar el derecho a desbloquear cuentas y a continuación, hacé click en Aceptar. En el cuadro de diálogo Usuarios y grupos, hacé click en Siguiente.
5. En el cuadro de diálogo Tareas para delegar, hacé click en Crear una tarea personalizada para delegar y a continuación en Siguiente.
6. En el cuadro de diálogo Tipo de objeto de Active Directory, hacé click en Sólo los objetos siguientes en la carpeta. En la lista, hacé click en User objects (una de las últimas de la lista) y a continuación en Siguiente.
7. En el cuadro de diálogo Permisos, hacé click para desactivar la casilla de verificación General y a continuación activá la casilla de verificación Property-specific. En la lista Permisos hacé click para seleccionar las casillas Read lockoutTime y Write lockoutTime y a continuación en Siguiente.
8. En el cuadro de diálogo Finalización del Asistente para delegación de control hacé click en Finalizar.
Ahora vamos a la otra delegación (permitir que restablezcan contraseñas):
1. Hacé click con el botón secundario en la unidad organizativa y a continuación hacé click en Delegar control en el menú que aparece.
2. En el cuadro de diálogo Pantalla de bienvenida, hacé click en Siguiente.
3. En el cuadro de diálogo Usuarios y grupos, haga clic en Agregar. Seleccioná el grupo en la lista en la que desea dar el derecho a restablecer ccontraseñas y a continuación hacé click en Aceptar. En el cuadro de diálogo Usuarios y grupos hacé click en Siguiente.
4. n el cuadro de diálogo Tareas para delegar, hacé click en Delegar la siguiente tarea común. En la lista de tareas hacé click para seleccionar la casilla de Reset user passwords and force password change at next logon. A continuación hacé click en Siguiente.
5. En el cuadro de diálogo Finalización del Asistente para delegación de control hacé click en Finalizar.
Este proceso lo debés repetir en todas las unidades organizativas en las cuales deseés que estas personas puedan realizar estas tareas.
Luego ingresando desde las máquinas de estos nuevos "Administradores de Contraseñas" en Herramientas Administrativas - - Active Directory Users and Computers. Prueba con algún usuario de test y ya podrán blanquear contraseñas y desbloquear usuarios.
Ya saca a estos usuarios del grupo administradores de cuenta antes de que se manden una macana con algún usuario!
Ahora ayudame vos y votame!!!
Si querés puedes incluirme dentro de tus expertos favoritos y cualquier duda sobre Windows 2000/2003/XP, Active Directory y otras tantas cosas, no dudes en cunsultarme. Trabajo con esto todos los días y tengo a mi cargo la administración del dominio de la empresa. Realicé el MCSE el año pasado, con lo cual tengo bastante fresca toda esta info.
Por favor mandame tus comentarios y espero que no haya sido tardía mi explicación.
