Права на сброс пароля, смену пароля, разблокировку учетной записи и чтение профиля
Я создал сервис, который имеет возможность сбрасывать, изменять пароли, разблокировать заблокированную учетную запись и читать значения профиля AD (например, sn, имя и т. Д.) Какого-либо пользователя домена после того, как пользователь подтвердит себя по телефону. На целевом сервере домена существует привилегированная учетная запись, способная выполнять эти задачи. Я использую.NET Framework API Services API и использую привилегированную учетную запись для выполнения задач. До сих пор моя привилегированная учетная запись была в основном администратором домена и могла делать больше, чем требовалось. Теперь, во время пробных запусков, мне нужно знать точные политики, которые мне нужны, чтобы выполнять только эти задачи:
- Сбросить пароль пользователя
- Сбросить пароль пользователя и пометить пароль как просроченный
- Изменить пароль пользователя (пользователь предоставит текущий пароль)
- Разблокировать заблокированный аккаунт
- Прочитать свойство профиля AD пользователя
Может ли кто-нибудь перечислить необходимые привилегии? Я могу настроить специальную учетную запись и сделать ее частью документации по развертыванию.
1 ответ
Функция, которую вы ищете, - это делегирование прав в Active Directory. Он позволяет назначать права пользователя или группы для выполнения таких действий, как сброс пароля, редактирование определенных атрибутов Active Directory и т. Д.
Настроить его так же просто, как щелкнуть правой кнопкой мыши на подразделении в Active Directory Users and Computers и выбрать "Делегировать управление...". Возможно, вы могли бы понять это, не читая документацию Microsoft, но я все равно рекомендую вам прочитать.