如何撤销只有特定OU中的用户的更改密码权限？

约翰·雷尼（John Rennie）和山姆·科根（Sam Cogan）的答案（正如约翰所说的那样）是“黑客”，因为他们试图禁用用户界面来更改密码，但实际上并没有带走用户更改密码的能力。

我认为你正在寻找对Active Directory在用户帐户所在的OU上默认设置的权限的更改。 我会告诫你的。 由于Microsoft已经通过用户帐户对象上的属性提供了此function，所以使用已提供的属性比更改AD权限更好。 很可能你会find一个可行的权限，而且操作系统也不会显示有用的信息。

您确实应该只使用Active Directory用户和计算机的所有受影响的用户，并且集体修改用户帐户的属性。 Dart的答案在function上与select所有的用户账号和设置他们的“用户不能更改密码”是一样的。 如果你更喜欢命令行，那就这样做。

有一种function可以在Windows 2003中使用Active Directory权限进行“扩展权限”。我没有find关于该function的很好的文档。 这里有一些与更改密码相关的“扩展权限”的背景知识，第一个涉及Active Directory“应用程序模式”（或者微软本周称之为的）：

• http://msdn.microsoft.com/en-us/library/aa746398(VS.85).aspx
• http://bsonposh.com/archives/341

我尝试通过在我的testingW2K3 Active Directory（Windows 2003域function级别）的OU中放置“SELF – 拒绝 – 用户对象 – 扩展权限：更改密码”权限来validationMassimo的答案，并发现用户对象处于或低于OU仍然可以使用GUI密码更改function更改密码。 查看每个用户对象，我可以看到inheritance的“拒绝”权限，但Active Directory似乎忽略它。

只要删除用户对象上的“SELF – 允许 – 更改密码”权限，就可以得到与上述testing相同的function。 用户仍然被允许更改密码。

我会说，在这个基础上，马西莫的答案也没有做到你想要的。

我从微软find了这篇文章 ，并对其进行了testing。 当我将脚本定位到单个用户对象时，它的行为与用户所期望的一样，并且用户无法更改其密码 。 这对你来说帮助不大，因为你想在每个OU的基础上进行设置。

然而，当我将这个脚本从一个OU的微软作为目标的时候，行为就会像预期的那样长。 （此外，如果我修改添加到OU的ACE，以应用到“此对象和子对象”而不是“仅此对象”，如脚本所授予的那样，行为依然不如预期。）

我真的把我的头撞在了墙上。 这看起来像Active Directory行为的怪癖，没有很好的logging。 我已经通过“Active Directory域服务”和Active Directory架构文档，并没有find描述这种行为的文档。

请参阅http://support.microsoft.com/kb/324744

但请注意，这是一个黑客。 它不会阻止用户更改密码，只是从ctrl-alt-del对话框中删除选项。 用户仍然可以使用命令行密码更改器。

JR

是的，你可以通过组策略来做到这一点。 打开要限制的OU的组策略编辑器（右键单击OU，属性，组策略选项卡）。 创build一个新的政策，或编辑一个现有的政策，并转到：

User Configuration -> Administrative Templates -> System

在这里，selectCtrl + Alt + Del选项，在右侧窗格中，启用“删除更改密码”选项。

closures组策略编辑器。 要确保应用立即打开命令提示符并运行

 gpupdate /target:user /force 

使用dsmod。 有关为OU执行此操作的指南，请参阅http://windowsitpro.com/article/articleid/80359/jsi-tip-7785-how-do-i-modify-active-directory-attributes-for-all-members-中安组织的单元式-MY-domain.html

您可以通过从分配给“SELF”的用户权限中删除（或明确拒绝）“更改密码”来删除特定用户的权限。

您必须手动编辑用户对象本身的ACL; 您可以通过在Active Directory用户和计算机控制台（查看 – >高级function）中启用高级function，然后打开用户的属性并select“安全性”来访问它。