我无法委派用户重置密码。 我做了所有的最小权限
重置密码读取pwnlastset写入pwnlastset
用户从Account Operators组inheritance。
当我尝试重置密码时,我正在恢复访问被拒绝。
有任何想法吗?
这可能是由许多事情引起的。 三个最明显的是:
1) 委托没有正确地inheritanceOU结构。 检查AD中实际用户帐户对象或子OU的权限,并确保正在委派的组已正确列出。
2) 您没有委派正确的权限。 对于简单的操作,如Reset Password ,在委派向导中有预定义的ACE。 在相应的OU上运行委派向导,然后选中“重置用户密码”选项。 这将简化您与AD权限的直接交互,以排除此问题。
3) 您尝试重置的用户帐户可能会受到权限inheritance的保护。 如果他们是某些内置AD组的成员,就会发生这种情况。 检查有问题的用户帐户,并确保admincount属性为0.如果它是1,则表示它是或者是受保护组的成员,例如Account Operators或Backup Operators。 Active Directory不允许inheritance这些帐户的权限。
我能想到的唯一的其他属性可能是重置的userAccountControl – 它将被用于,例如,如果你检查“密码永不过期”框。
如果这样做不起作用,为AD更改启用安全日志logging,然后在审计日志中注意哪个属性失败 – 但在此之前,从基础开始; 确保进行更改的用户已经允许(并且不拒绝)有效权限选项卡中的正确项目。
首先,您应该使用委派向导而不是手动设置密码。 这确保已设置适当的权限。 在这种情况下,这些权限是正确的。 其次,确保用户是您授权的正确组的成员。 最后,确保您正在尝试对付已复制更改的DC。 您可以强制复制到用户已经通过身份validation的DC(默认情况下,该pipe理单元将连接到该DC),或者将pipe理单元连接到已进行更改的DC。