A veces nos puede interesa delegar una serie de permisos sobre una unidad organizativa OU, pero queremos que un determinado usuario de esa OU no se le aplique esa delegación.
Por ejemplo tenemos un grupo con permisos para desbloquear y resetear contraseñas de usuario, pero queremos que sobre el gerente de la empresa no puedan hacerlo.
Lo primero de todo es instalar el ADSI edit que viene con las herramientas de soporte (support tools)
Ejecutamos el programa como administrador del dominio y navegamos hasta el usuario sobre el que no queremos que se aplique la delegación. Pulsamos el botón derecho→propiedades
Modificamos la propiedad adminCount y ponemos el valor a 1
Además de modificar dicho atributo, también debemos de verificar en la pestaña seguridad que permisos tiene ya asignados y desmarcar, dentro de opciones avanzadas, la casilla “Permitir que los permisos heredables del primario se propagen a este objeto……..”