Делегировать разрешения администраторам для сброса пароля и "Сменить пароль при следующем входе в систему" в AD
Здравствуйте, я создал панели задач для удаленных администраторов, чтобы сбросить пароли для людей на их сайте. Я создал группу для администраторов и дал делегирование на сайте OU. Проблема заключается в том, что для принудительного изменения пароля при следующем входе в систему существуют определенные разрешения для пользовательских объектов, которые необходимо включить. Поэтому я включил "ReadPWDLastSet" и "WritePWDLastSet", а также "Сброс пароля" на объектах пользователя для группы администраторов. К сожалению, когда пользователь щелкает правой кнопкой мыши, "пользователь должен сменить пароль при следующем входе в систему" становится серым, но на вкладке "Свойства пользователя-> учетная запись" "пользователь должен сменить пароль при следующем входе в систему" не отображается серым цветом, и они могут выбрать его., Почему происходит то, какие атрибуты им нужно включить, когда они делают "Правый клик и сброс пароля".
Извините, если вопрос слишком длинный, но дайте мне знать о любых необходимых разъяснениях. Спасибо.
2 ответа
В Server 2003 есть ошибка, которая вызывает это. Статья MS KB, которая решает именно ту проблему, которую вы описываете. Если вы уже получили соответствующий пакет обновления, возможно, вам поможет ответ @EvanAnderson.
Я просто хочу вернуться и проверить это на Windows Server 2003 Standard SP2 x86 VM. Я сделал следующее и получил удовлетворительные результаты:
- Я создал подразделение верхнего уровня в своем домене "Тест"
- В этом OU я создал пользователя "Test1"
- Я создал тестового пользователя "PWReset" в контейнере "Users" по умолчанию
- Я использовал мастер "Delegate Control", чтобы делегировать "Сброс паролей пользователя и принудительную смену пароля при следующем входе в систему" пользователю "PWReset"
После этого я открыл копию "Пользователи и компьютеры Active Directory" в качестве пользователя "PWReset" и обнаружил, что мне удалось сбросить пароль пользователя "Test1" и установить флажок "Пользователь должен изменить пароль при следующем входе в систему",
Если вы собираетесь выполнять делегирование "вручную", вам также необходимо предоставить разрешение объекта "Сброс пароля" для объектов "Пользователь" делегированному участнику вместе с разрешением свойств, чтобы разрешить "Чтение pwdLastSet" и "Запись pwdLastSet"., Лично я бы просто использовал мастера.