Active Directory 未能委派重置用户密码权限

Active Directory 未能委派重置用户密码权限

我无法授权用户重置密码。我已授予所有最低权限

重置密码 读取 pwnlastset 写入 pwnlastset

该用户继承自帐户操作员组。

当我尝试重置密码时,我恢复了“访问被拒绝”的提示。

有任何想法吗?

答案1

造成这种情况的原因有很多。最明显的三个是:

1)委派未在 OU 结构中正确继承。检查 AD 中实际用户帐户对象或子 OU 的权限,并确保正确列出您要委派的组。

2)您没有委派正确的权限。对于像这样的简单操作Reset Password,委派向导中有预定义的 ACE。在相应的 OU 上运行委派向导并选中“重置用户密码”选项。这将简化您与 AD 权限的直接交互以排除这种情况。

3)您尝试重置的用户帐户可能受到权限继承保护。如果他们是某些内置 AD 组的成员,就会发生这种情况。检查相关用户帐户并确保属性admincount为 0。如果是 1,则表示它是或曾经是受保护组的成员,例如帐户操作员或备份操作员。Active Directory 不允许将权限继承给这些帐户。

答案2

我能想到的可能对重置很重要的唯一其他属性是userAccountControl- 例如,如果您选中“密码永不过期”框,它将被使用。

如果这不起作用,请启用 AD 更改的安全日志记录,然后观察审计日志中哪个属性失败 - 但在执行此操作之前,请从基础开始;确保进行更改的用户在有效权限选项卡中允许(并且不拒绝)正确的项目。

答案3

首先,您应该使用委派向导,而不是手动设置密码。这样可以确保设置了正确的权限。在本例中,这些是正确的权限。其次,确保用户是您委派权限的正确组的成员。最后,确保您针对已将更改复制到的 DC 尝试此操作。您可以强制复制到用户已进行身份验证的 DC(默认情况下,这将是 snapin 连接的 DC),或者将 snapin 连接到您已进行更改的 DC。

相关内容