我有一个关于configuration“用户不能更改密码”属性的问题。 默认的“Account Operators”域组是否有能力改变这个属性? 如果不是,可以通过AD委托授权吗? 那么有人可以详细解释如何做到这一点。 由于这不是实际的AD帐户属性,因此它似乎很难委派,但是在通过GUI更改此设置时正在更改为显式允许或拒绝的用户对象ACL中,将“SELF”的ACE“更改密码” 。 据我了解编辑用户的授权ACL给用户负载的可能性,并可能对环境不安全。