我们有一个服务帐户,它是域管理员组的成员。这让我特别不舒服。
我希望尽快改变这种情况,但我对 AD 权限还不太熟悉。服务帐户的主要用途是进行 LDAP 查询,因此我已为该帐户分配了域用户成员身份。问题是它还需要代表用户重置密码的能力。我正在查看委派控制,但只能看到“重置用户密码并在下次登录时强制更改”。需要的是重置,但不设置强制更改。我尝试手动指定一个角色,但由于权限数量众多,我有点力不从心。
有谁对将密码重置控制权委托给另一个用户需要什么权限有任何指导吗?
答案1
委派此任务所需的最小细粒度权限是:
Reset Password
Read pwdLastSet
Write pwdLastSet
您应该创建一个新的安全组,使用委派向导将这些权限委派给它,然后将服务帐户添加到新组。