Puede establecer y modificar las contraseñas de las entidades de seguridad de los Servicios de directorio ligero de Active Directory (AD LDS) en conexiones de Capa de sockets seguros (SSL) (mediante Ldp.exe) o en conexiones cifradas que no emplean SSL (mediante el Editor ADSI o Ldp.exe). Para establecer una conexión SSL con AD LDS, debe instalar certificados en el equipo que ejecuta AD LDS y en todos los clientes. Para establecer conexiones SSL con una instancia de AD LDS, debe usar Ldp.exe. El Editor ADSI no es compatible con las conexiones SSL.

De manera predeterminada, la instancia de AD LDS aplica automáticamente las directivas de contraseñas locales o de dominio que existan. Si crea un nuevo usuario de AD LDS y le asigna una contraseña que no cumple los requisitos exigidos en la directiva de contraseñas vigente, el usuario se deshabilitará.

De manera predeterminada, AD LDS admite y aplica la configuración de la directiva de contraseñas y la configuración de bloqueo de cuenta que proporciona Windows Server 2008 R2, incluido lo siguiente:

Duración mínima

Duración máxima

Complejidad

Historial

Demasiados intentos incorrectos de inicio de sesión

Deshabilitación y habilitación de cuentas

Si el servidor donde se ejecuta AD LDS pertenece a un grupo de trabajo, se implementará la configuración de la directiva de contraseñas locales y la configuración del bloqueo de cuenta del servidor. Si el servidor donde se ejecuta AD LDS pertenece a un dominio, se implementará la configuración de la directiva de contraseñas y la configuración del bloqueo de cuenta de Servicios de dominio de Active Directory (AD DS).

Para completar este procedimiento, debe pertenecer como mínimo al grupo Administradores de la instancia de AD LDS. De forma predeterminada, la entidad de seguridad que especifique como administrador de AD LDS durante su instalación se convertirá en miembro del grupo Administradores de la partición de configuración. Para obtener más información acerca de los grupos de AD LDS, vea Descripción de los usuarios y grupos de AD LDS.

Establecer o modificar la contraseña de un usuario de AD LDS

Uso del Editor ADSI

Para establecer o modificar la contraseña de un usuario de AD LDS con el Editor ADSI

  1. Abra el Editor ADSI.

  2. Conéctese y enlácese a la partición de directorio que contiene el usuario de AD LDS para el que desea establecer o modificar la contraseña. Para obtener más información, vea Uso del Editor ADSI para administrar una instancia de AD LDS.

  3. Diríjase al objeto de directorio que representa al usuario de AD LDS y haga clic con el botón secundario en el objeto de directorio.

  4. Haga clic en Restablecer contraseña y, a continuación, escriba una contraseña para el usuario en Nueva contraseña y en Confirmar la contraseña.

Consideraciones adicionales

  • Para abrir el Editor ADSI, en un equipo con el rol de servidor de AD LDS instalada, haga clic en Inicio, Herramientas administrativas y Editor ADSI.

Uso de Ldp en una conexión cifrada sin SSL

Para establecer o modificar la contraseña de un usuario de AD LDS mediante Ldp en una conexión cifrada sin SSL

  1. Abra Ldp.

  2. En el menú Opciones, haga clic en Opciones de conexión.

  3. En Nombre de opción, haga clic en LDAP_OPT_ENCRYPT.

  4. En Valor, escriba 1, haga clic en Establecer y, a continuación, en Cerrar.

  5. Conéctese y enlácese a la instancia de AD LDS para ver la partición de directorio que contiene al usuario de AD LDS para el que desea establecer una contraseña. Para obtener más información, vea Uso de Ldp.exe para administrar una instancia de AD LDS.

  6. Haga clic con el botón secundario en el usuario de AD LDS y, a continuación, haga clic en Modificar.

  7. En Atributo, escriba userpassword y, a continuación, en Valor, escriba una contraseña para la cuenta.

  8. Haga clic en Entrar y, a continuación, en Ejecutar. El panel de detalles muestra un mensaje similar al siguiente: 

    ***Call Modify...
ldap_modify_s(ld, 'CN=Mary Baker,O=Microsoft,C=US',[1] attrs);
Modified "CN=Mary Baker,O=Microsoft,C=US".

Consideraciones adicionales

  • Para abrir Ldp, haga clic en Inicio, en Ejecutar, escriba ldp y, a continuación, haga clic en Aceptar.

  • También puede usar el Editor ADSI para establecer o modificar las contraseñas: haga clic con el botón secundario en el objeto de directorio que representa la entidad de seguridad de AD LDS en el Editor ADSI y, a continuación, haga clic en Restablecer contraseña.

  • De manera predeterminada, la instancia de AD LDS que se ejecuta en Windows Server 2008 R2 aplica automáticamente las directivas de contraseñas locales o de dominio. Si establece una contraseña para un usuario de AD LDS que no cumple los requisitos de la directiva de contraseñas vigente, la cuenta de dicho usuario se deshabilitará.

  • El usuario de AD LDS para el que establece o modifica la contraseña debe usar la nueva contraseña la próxima vez que inicie sesión.

  • Este procedimiento se aplica a todas las clases de objetos que se usen como entidades de seguridad en AD LDS. Cualquier clase de objeto de AD LDS puede usarse como entidad de seguridad, siempre y cuando la definición de la clase de objeto contenga la clase auxiliar msDS-bindableobject y el atributo unicodePwd.

  • Las clases de objeto user, person, inetOrgPerson y OrganizationalPerson no están disponibles de forma predeterminada en el esquema de AD LDS. Debe importarlas antes.

  • También puede realizar la tarea de este procedimiento con el Módulo Active Directory para Windows PowerShell. Para abrir el Módulo Active Directory, haga clic en Inicio, seleccione Herramientas administrativas y, a continuación, haga clic en Módulo Active Directory para Windows PowerShell. Para obtener más información, vea Establecer o modificar la contraseña de un usuario de AD LDS (puede estar en inglés) (https://go.microsoft.com/fwlink/?LinkId=137818). Para obtener más información acerca de Windows PowerShell, vea Windows PowerShell (puede estar en inglés) (https://go.microsoft.com/fwlink/?LinkID=102372).

Uso de Ldp en una conexión SSL

Para establecer o modificar la contraseña de un usuario de AD LDS mediante Ldp en una conexión SSL

  1. Instale un certificado de servidor en el equipo en el que se ejecuta la instancia de AD LDS e instale un certificado de cliente que coincida con éste en el equipo desde el que administra la instancia de AD LDS.

  2. Abra Ldp.

  3. Conéctese y enlácese a la instancia de AD LDS (seleccionando SSL en el cuadro de diálogo Conectar) que contenga al usuario cuya contraseña desea establecer o modificar. Para obtener más información, vea Uso de Ldp.exe para administrar una instancia de AD LDS.

  4. Haga clic con el botón secundario en el usuario de AD LDS y, a continuación, haga clic en Modificar.

  5. En Atributo, escriba userpassword y, a continuación, en Valor escriba una contraseña para la cuenta.

  6. Haga clic en Entrar y, a continuación, en Ejecutar. El panel de detalles muestra un mensaje similar al siguiente: 

    ***Call Modify...
ldap_modify_s(ld, 'CN=Mary Baker,OU=Beta
users,O=Microsoft,C=US',[1] attrs);
Modified "CN=Mary Baker,OU=Beta users,O=Microsoft,C=US".

Consideraciones adicionales

  • Para abrir Ldp, haga clic en Inicio y en Ejecutar; en Abrir, escriba ldp y, a continuación, haga clic en Aceptar.

  • Para establecer conexiones SSL es necesaria la presencia de certificados en el servidor y en los clientes.

  • De manera predeterminada, la instancia de AD LDS que se ejecuta en Windows Server 2008 R2 aplica automáticamente las directivas de contraseñas locales o de dominio. Si establece una contraseña para un usuario de AD LDS que no cumple los requisitos de la directiva de contraseñas vigente, la cuenta de dicho usuario se deshabilitará.

  • Si el usuario de AD LDS ha iniciado una sesión, deberá cerrarla para que la nueva contraseña surta efecto.

  • Este procedimiento se aplica a todas las clases de objetos que se usen como entidades de seguridad en AD LDS. Cualquier clase de objeto de AD LDS puede usarse como entidad de seguridad, siempre y cuando la definición de la clase de objeto contenga la clase auxiliar estática SecurityPrincipal y el atributo unicodePwd.

  • Las clases de objeto user, person, inetOrgPerson y OrganizationalPerson no están disponibles de forma predeterminada en el esquema de AD LDS. Debe importarlas antes. Para obtener más información, vea Importación de las clases de usuario que se proporcionan con AD LDS.

Referencias adicionales

Tabla de contenido