帐户操作员内置组和“用户无法更改密码”属性

帐户操作员内置组和“用户无法更改密码”属性

我对“用户无法更改密码”属性的配置有疑问。默认的“帐户操作员”域组是否有权更改此属性?如果没有,可以通过 AD 委派来委派吗?有人可以详细解释一下如何做到这一点吗?委派
这个属性似乎很困难,因为它不是实际的 AD 帐户属性,而是将用户对象 ACL 中的 ACE“更改密码”更改为“SELF”,当通过 GUI 更改此设置时,该设置将被更改为显式允许或拒绝。据我所知,编辑用户 ACL 的委派为用户提供了大量可能性,但对环境来说可能是不安全的。

相关内容