我们想要locking几个帐户,以防止域pipe理员在不知道当前密码的情况下重置密码。 从我在权限集中可以看到的,这看起来是可能的。 我在这个主题上发现的任何东西都build议不要改变默认权限,但是没有详细说明原因。
假设域pipe理员保留在不知道当前密码的情况下重置密码的能力,可以防止域pipe理员帐户上的密码重置以及其他几个密码重置吗? 如果没有,为什么不呢?
应该可以用ADSI编辑。 (我知道你知道,但是:小心ADSI编辑)。
但真正的问题在于你必须能够信任“域pipe理员”。 如果你不能相信他们在重要账户上重置密码,你怎么能相信他们不要格式化区议会?
如果你想保留一些特殊的账户,把它们移到一个OU中,并把它称为“ImportantAccounts”,并告诉你所有的域pipe理员不要重置这些密码!
但是,如果你想在事后分配责任,你可以集中安全审计,并跟踪谁重置了哪个密码。