我想给一个普通的“域用户”,有权重置域pipe理员组中的用户密码。
所以我创build了一个OU,并将所有的用户账户目标移入其中。
然后我使用“委托控制”给予普通域用户的密码重置权限。
在所有用户帐户上执行“启用inheritance”后,
但是不久之后,域pipe理员用户的inheritance就被禁用了。 它停止工作。
我相信这是AdminSDHolder和受保护的组正在这样做。
我无法从域pipe理员组中删除用户,有没有解决这个问题的另一种方法?
谢谢,
我甚至不想知道你为什么要这样做。 这是一个可怕的想法,甚至没有关系。
您正确的是AdminSDHolder正在重置受保护的DA帐户的权限。 本Technet文章更深入地解释。
https://technet.microsoft.com/en-us/library/2009.09.sdadminholder.aspx
它还解释了您可以使用林Directory Service对象上的dsHeuristics属性来设置一个位标志,以确定哪些组受保护。 但(幸好),域pipe理员不是您可以排除的组之一。
*编辑
我忘了也可以修改实际的AdminSDHolder对象的权限。 该对象上的权限是被encryption到受保护的用户上的。 所以如果你在它上面添加了域用户权限,他们将被加到DA上。
但是,真的,为什么呢? 在域中的任何用户可以重置任何DA用户的密码,为什么不只是使所有的用户DA? 地狱,为什么要打扰用户呢? 只需使实际的域pipe理员密码“12345”,并称之为一天。
出于上述原因,我未能使用授权。 这是我的解决方法:
运行dsa.msc Active Directory用户和计算机。
select:更改密码重置密码读取pwdLastSet写入pwdLastSet
单击确定并closures所有窗口