我们允许其他国家的IT服务通过代理控制来pipe理AD / OU的某些部分。 在一个国家的OU下,编辑账户选项的委托权限不再有效。 这会影响他们设置“用户必须在下次login时更改密码”,“用户不能更改密码”和“密码永不过期”等等的能力。它失败时会出现权限错误,并将用户帐户对象创build为禁用状态。 据我们所知,我们这边没有什么变化。 我已经看了组策略,我没有看到任何设置在特定的OU上,只是最小和最大密码年龄(最小1最大60,默认域策略的一部分)。 这是我第一次进入委托控制这个可怕的世界,所以我很抱歉,如果我列出任何不相关的东西。
任何人都可以请帮我理解为什么他们将不能再执行提到的任务? 我创build了自己的组,并在同一个OU上设置委托访问,结果相同。 以下是我做的一些testing:
testing1
他们有以下权限:
Reset password Read accountExpires Write accountExpires Read lockoutTime Write lockoutTime Read pwdLastSet Write pwdLastSet Read userAccountControl Write userAccountControl 对于以下对象types:USER
testing2
Create, delete, and manage user accounts Reset user passwords and force password change at next logon Read all user information Modify the membership of a group
对于以下对象types:USER
testing3
Change password Reset password Read and write account restrictions Read accountExpires Write accountExpires Read expirationTime Write expirationTime Read lockoutTime Write lockoutTime Read Member Of Write Member Of Read pwdLastSet Write pwdLastSet Read userAccountControl Write userAccountControl
我还为特定用户设置了特定OU的审计,试图捕获将密码设置为永不过期的日志logging,但到目前为止,我一直无法find它的踪迹。
从我自己的研究来看,我看起来就像覆盖了所有的基础。 我已经看到它提到检查复制,但我不是100%确定如何做到这一点。 有人可以帮忙吗?
谢谢,扎克