Seguridad flexible para tu tranquilidad

Table of Contents

Herramienta gratuita de auditoría de Active Directory

Pruébalo ahora
Screenshot of the ADUC snap-in. There is a red arrow pointing to a line that reads "PS C:UsersAdministrator> Unlock-ADAccount testuser".

Cómo comprobar si una cuenta de Active Directory está bloqueada

Table of Contents

Puede que necesites comprobar si una cuenta de Active Directory está bloqueada para asegurarte de que los usuarios puedan acceder a los recursos necesarios, solucionar problemas de inicio de sesión y mantener la seguridad al identificar posibles intentos de ataques de fuerza bruta. Poder comprobar de forma rápida y fiable si una cuenta de Active Directory está bloqueada ayuda a minimizar el tiempo de inactividad y la frustración de los usuarios, garantiza la continuidad de las operaciones y te permite dedicar tu tiempo a tareas más importantes.

Como administrador, puedes sospechar que una cuenta de Active Directory está bloqueada si el usuario informa de que no puede iniciar sesión, recibe mensajes de error sobre credenciales no válidas o si se registran múltiples intentos fallidos de inicio de sesión en los registros del sistema. A continuación, veremos cómo identificar una cuenta bloqueada, cómo comprobarlo con certeza y cómo desbloquear la cuenta del usuario.

¿Cómo es una cuenta de Active Directory bloqueada?

La directiva de bloqueo de cuentas (Account Lockout Policy) en la Directiva de Grupo de Active Directory define el número de intentos fallidos de inicio de sesión antes de que una cuenta de usuario quede bloqueada. Puedes comprobarlo a través del estado de bloqueo de la cuenta de AD. Una vez bloqueada, la cuenta no se puede usar (ni siquiera con la contraseña correcta) hasta que haya transcurrido el tiempo de bloqueo definido o hasta que un administrador la desbloquee manualmente. Ahí es donde entras tú.

La directiva de bloqueo de cuentas ayuda a disuadir a los ciberdelincuentes que realizan ataques de fuerza bruta contra cuentas de Active Directory, pero esta funcionalidad puede ser una auténtica pesadilla para los administradores y el equipo de TI cuando un usuario impaciente busca una solución rápida.

A continuación, tienes un ejemplo de lo que un usuario final podría ver cuando está atrapado en el “purgatorio” del bloqueo de cuentas.

testuser screen with a message stating "the referenced account is currently locked out and may not be logged on to". There is an okay button for an end user to click.
Ejemplo de lo que un usuario final podría ver si su cuenta está bloqueada
Let end users securely reset their passwords from anywhere, anytime.
Learn more

Comprobar el estado de bloqueo de una cuenta de Active Directory

¿Cómo puede un administrador comprobar si una cuenta de Active Directory está bloqueada?

Usando ADUC

En ADUC, ve a las propiedades del usuario y después a la pestaña Account (Cuenta). Si la cuenta está bloqueada, verás el siguiente mensaje:

Desbloquear cuenta. Esta cuenta está actualmente bloqueada en este controlador de dominio de Active Directory.

Screenshot of an active directory backend or ADUC, showing properties of the user and account tab. There is an arrow to a toggle that says "Unlock account. This account is currently locked out on this Active Directory Domain Controller."
Mensaje de ADUC indicando que la cuenta está actualmente bloqueada.

Usando PowerShell

También puedes usar PowerShell para consultar una cuenta de Active Directory y comprobar su estado. Ejecuta lo siguiente en un controlador de dominio para revisar las propiedades de una cuenta de usuario:

Import-Module ActiveDirectory

get-aduser -identity testuser -properties * | select accountexpirationdate, accountexpires, accountlockouttime, badlogoncount, padpwdcount, lastbadpasswordattempt, lastlogondate, lockedout, passwordexpired, passwordlastset, pwdlastset | format-list
Screenshot of the import-module activedirectory. There is a red arrow pointing to a line that reads "lockedout: true".
El valor de la propiedad “lockedout” devolverá “true” si la cuenta está bloqueada en ese momento

Desbloquear cuentas de usuario en Active Directory

Puedes encontrar una guía completa sobre cómo desbloquear cuentas bloqueadas de Active Directory en nuestro artículo específico sobre este tema. A continuación, te ofrecemos un resumen de los pasos básicos para resolver el problema.

El proceso de desbloqueo de una cuenta es sencillo. Por defecto, hay dos formas de desbloquear una cuenta: mediante la intervención de un administrador, o esperando a que expire el tiempo de bloqueo establecido en la política.

Un administrador puede desbloquear la cuenta del usuario tanto desde la interfaz gráfica de ADUC como a través de PowerShell. Veamos brevemente ambas opciones.

ADUC

Usando el complemento de ADUC, un administrador solo tiene que marcar la casilla junto al texto: “Desbloquear cuenta. Esta cuenta está actualmente bloqueada en este controlador de dominio de Active Directory”.

Screenshot of an active directory backend or ADUC, showing properties of the user and account tab. There is an arrow to a toggle that says "Unlock account. This account is currently locked out on this Active Directory Domain Controller."
Marca la casilla junto a “Unlock account” (Desbloquear cuenta)

PowerShell

También puedes hacerlo fácilmente con PowerShell. Los administradores pueden usar el siguiente cmdlet:

Unlock-ADAccount <username>
Screenshot of the ADUC snap-in. There is a red arrow pointing to a line that reads "PS C:\Users\Administrator> Unlock-ADAccount testuser".
Ejemplo del cmdlet de PowerShell utilizado para desbloquear cuentas.

Desbloqueos de cuenta mediante autoservicio

Con muchas organizaciones dando soporte a empleados remotos, los flujos de trabajo de autoservicio para los usuarios finales son de gran ayuda. Las soluciones de autoservicio ahorran tiempo y dinero al departamento de TI al reducir las solicitudes al servicio de asistencia, y además fomentan que los usuarios asuman la responsabilidad de la seguridad y el mantenimiento de sus contraseñas.

El aumento del número de trabajadores remotos puede agravar el problema de las credenciales en caché, lo que provoca más bloqueos y más llamadas al helpdesk. Contar con opciones de autoservicio fiables reduce esta carga considerablemente.

Specops uReset es una excelente solución de autoservicio que permite a los usuarios realizar tareas cotidianas relacionadas con la gestión de contraseñas y cuentas en Active Directory. Esto también libera tiempo al equipo de TI y al servicio de asistencia, que pueden centrarse en otras prioridades. De hecho, los estudios muestran que, en 2023, las organizaciones que implementaron restablecimientos de contraseña de autoservicio ahorraron una media de 65.000 dólares.

La forma más rápida de desbloquear una cuenta de Active Directory

Specops uReset es una solución de autoservicio que permite a los usuarios restablecer de forma segura sus contraseñas de Active Directory. Los usuarios pueden iniciar el proceso de restablecimiento desde cualquier navegador, su dispositivo móvil o directamente desde la pantalla de inicio de sesión de Windows en su equipo. Specops uReset comprueba si una cuenta de AD está bloqueada y notifica al usuario cuando esto ocurre.

Además, permite desbloquear la cuenta sin intervención del administrador, ahorrando tiempo y reduciendo los tickets al servicio técnico. Con una solución de autoservicio como Specops uReset, no tendrás que identificar ni resolver manualmente las cuentas bloqueadas: el propio usuario podrá hacerlo.

Las funciones de seguridad, como la autenticación multifactor (MFA) y el bloqueo geográfico (geo-blocking), garantizan que la solución de restablecimiento de contraseñas de Specops uReset mantenga el mismo nivel de seguridad que tus sistemas administrativos. Prueba Specops uReset gratis hoy mismo.

Última actualización el 21/11/2025

Back to Blog

Related Articles

  • Cómo gestionar los requisitos de contraseña en Active Directory

    Las directivas de contraseñas son un elemento fundamental de la postura de seguridad de cualquier organización, especialmente en entornos gestionados con Active Directory (AD). Estas directivas garantizan que las credenciales de los usuarios cumplan con unos requisitos mínimos de complejidad, reduciendo así el riesgo de accesos no autorizados. Sin embargo, entender y verificar estos requisitos, especialmente desde…

    Leer más
  • [Nueva investigación] Mapa de calor de 10 millones de contraseñas vulneradas: el 98,5% son débiles 

    El equipo de investigación de Specops ha analizado 10 millones de contraseñas aleatorias de la lista de más de mil millones de contraseñas vulneradas utilizada por Specops Password Auditor. Todas son contraseñas reales comprometidas que han sido capturadas por Specops, contra las que puedes escanear su propio Active Directory ahora mismo. Nuestro equipo ha mapeado…

    Leer más

Herramienta gratuita de auditoría de Active Directory

Authentication and password security is more important than ever. Our password audit tool scans your Active Directory and identifies password-related vulnerabilities. The collected information generates multiple interactive reports containing user and password policy information.

Pruébalo ahora

© 2025 Specops Software. All rights reserved.