服务器 Gind.cn
  1. 服务器 Gind.cn
  3. 在AD中委托帐户解锁权限
Intereting Posts
寻找谷歌不寻常的交通 MSMQ灾难恢复 从Windows PC访问linux fc4graphics模式 定期运行查询以在两个SQL Server之间传输数据 如何为php 5.6和apache 2.2configurationphp-fpm 戴尔Perc H730和希捷Constellation 4TB硬盘之间的兼容性? HHVM瓦特/ FastCGI与通过WordPress上传 Novell集群问题 Amazon EC2 – 并行运行的两个大型实例(或多或less)与超大型实例相同吗? DNSlogging:转发我的公共领域的端口 DNS负载平衡 如何将nginx数据复制到两台服务器? 如何redirect本地主机邮件? – “远程主机地址是本地主机”(exim) 为什么部分内容不在nginx(mp4)中? Windows 8入站IPsec身份validation失败?

在AD中委托帐户解锁权限

我试图委托在我们的Active Directory域中解锁用户帐户的权利。 这应该很容易,而且我之前做过…但是每次用户试图解锁一个帐户(使用LockoutStatus工具 )时,他都会被拒绝,错误是“您没有必要的权限来解锁此帐户“。

以下是我所做的:

  • 我创build了一个域本地组,并添加了应该拥有这些权限的成员。 这是一个多星期前创build的,所以用户已经注销并重新login。
  • 在ADUC中,我使用包含我们的用户帐户的OU上的委托权向导授予读取lockoutTime和Writer lockoutTime到组的权限,每个MSKB 279723
  • 我已经仔细检查了在ADSIEdit中正确应用的权限。
  • 我强制所有域控制器之间的复制,以确保权限更改被复制。
  • 用户testing它已经注销,并再次确保他有任何更改应用到他的帐户。

这涵盖了我所能想到的所有基础。 还有什么我可能会失踪?

如果您遇到pipe理员帐户问题,则可能与由于AdminSDHolder每小时重置权限有关

细节

您是否validation过相关pipe理员没有明确拒绝通过另一个组的成员身份访问该属性?

我几个月前曾经遇到类似的问题,为了解决我在AD中创build一个新组的问题,添加了那里的用户,然后我创build了一个新的域组策略,并在新的域策略中创build了一个受限制的组,然后我添加了所有的的需要访问ADlocking工具的用户从我创build的新AD组到新组策略中的Restricted组以及其工作的宾果。

只要确保你先在testing域上testing这个,确保你不会在现场破坏任何东西。