是否可以创建仅具有重置密码能力的 Windows 域管理员?

是否可以创建仅具有重置密码能力的 Windows 域管理员?

没有其他权限,只有重置 AD 密码的能力?

谢谢!

答案1

不可以。无法创建只能重置密码的域管理员帐户。如果用户帐户是域管理员,则他们可以不受限制地访问域。

您可以创建一个组,将其命名为 Password Resetters,打开 ADUC,右键单击要委派的 OU,选择委派控制,然后按照提示将密码重置委派给您创建的组。这是一项常见任务,因此向导中有一个预定义的模板。

答案2

默认组“帐户操作员”可以重置任何帐户的密码(域管理员和其他帐户操作员除外)。但是,它还允许修改组成员身份、其他帐户属性等。如果您不介意,请使用帐户操作员。否则,您必须使用自定义 ACL 进行委派。

相关内容