我无法授权用户重置密码。我已授予所有最低权限
重置密码 读取 pwnlastset 写入 pwnlastset
该用户继承自帐户操作员组。
当我尝试重置密码时,我恢复了“访问被拒绝”的提示。
有任何想法吗?
答案1
造成这种情况的原因有很多。最明显的三个是:
1)委派未在 OU 结构中正确继承。检查 AD 中实际用户帐户对象或子 OU 的权限,并确保正确列出您要委派的组。
2)您没有委派正确的权限。对于像这样的简单操作Reset Password
,委派向导中有预定义的 ACE。在相应的 OU 上运行委派向导并选中“重置用户密码”选项。这将简化您与 AD 权限的直接交互以排除这种情况。
3)您尝试重置的用户帐户可能受到权限继承保护。如果他们是某些内置 AD 组的成员,就会发生这种情况。检查相关用户帐户并确保属性admincount
为 0。如果是 1,则表示它是或曾经是受保护组的成员,例如帐户操作员或备份操作员。Active Directory 不允许将权限继承给这些帐户。
答案2
我能想到的可能对重置很重要的唯一其他属性是userAccountControl
- 例如,如果您选中“密码永不过期”框,它将被使用。
如果这不起作用,请启用 AD 更改的安全日志记录,然后观察审计日志中哪个属性失败 - 但在执行此操作之前,请从基础开始;确保进行更改的用户在有效权限选项卡中允许(并且不拒绝)正确的项目。
答案3
首先,您应该使用委派向导,而不是手动设置密码。这样可以确保设置了正确的权限。在本例中,这些是正确的权限。其次,确保用户是您委派权限的正确组的成员。最后,确保您针对已将更改复制到的 DC 尝试此操作。您可以强制复制到用户已进行身份验证的 DC(默认情况下,这将是 snapin 连接的 DC),或者将 snapin 连接到您已进行更改的 DC。