我正在尝试委派权限来解锁 Active Directory 域中的用户帐户。这应该很容易,我以前也做过……但每次用户尝试解锁帐户时(使用LockoutStatus 工具),但被拒绝并显示错误“您没有解锁此帐户所需的权限。”
以下是我所做的:
- 我创建了一个域本地组并添加了应该有权限的成员。这是一个多星期前创建的,因此用户已注销并再次登录。
- 在 ADUC 中,我使用包含我们用户帐户的 OU 上的“委托权限”向导,向组授予“读取锁定时间”和“写入锁定时间”的权限,具体如下:知识库 279723
- 我已仔细检查过 ADSIEdit 中的权限是否应用正确。
- 我已经强制所有域控制器之间进行复制,以确保权限更改已被复制。
- 测试用户已注销并再次登录,以确保他的帐户已应用所有更改。
...这涵盖了我能想到的所有基础。我还遗漏了什么吗?
答案1
如果你遇到管理员账户问题,那么这可能与 AdminSDHolder 每小时重置权限有关
答案2
您是否已确认相关管理员没有被明确拒绝通过另一个组的成员身份访问该属性?
答案3
几个月前我遇到过类似的问题,为了解决这个问题,我在 AD 中创建了一个新组,并在其中添加了用户,然后我创建了一个新域组策略,并在新域策略中创建了一个受限组,然后我添加了所有需要访问 AD 锁定工具的用户从我创建的新 AD 组到新组策略中的受限组,然后它就起作用了。
只需确保您首先在测试域上进行测试,以确保您不会在实时中破坏任何东西。