我们允许其他国家/地区的 IT 服务通过委托控制管理其 AD/OU 的某些部分。在一个国家/地区的 OU 下,编辑帐户选项的委托权限不再有效。这会影响他们设置“用户必须在下次登录时更改密码”、“用户不能更改密码”和“密码永不过期”等的能力。它在权限错误上失败,并将用户帐户对象创建为禁用。据我们所知,我们这边没有任何变化。我查看了组策略,没有看到在该特定 OU 上设置任何内容,只有最短和最长密码使用期限(最小 1 最大 60,默认域策略的一部分)。这是我第一次涉足委托控制这个可怕的世界,所以如果我列出了任何不相关的内容,我深表歉意。
有人能帮我理解为什么他们不再能够执行上述任务吗?我创建了自己的组并在同一个 OU 上设置了委托访问权限,结果相同。以下是我进行的一些测试:
测试 1
他们拥有以下权限:
Reset password
Read accountExpires
Write accountExpires
Read lockoutTime
Write lockoutTime
Read pwdLastSet
Write pwdLastSet
Read userAccountControl
Write userAccountControl
对于以下对象类型:USER
测试 2
Create, delete, and manage user accounts
Reset user passwords and force password change at next logon
Read all user information
Modify the membership of a group
对于以下对象类型:USER
测试 3
Change password
Reset password
Read and write account restrictions
Read accountExpires
Write accountExpires
Read expirationTime
Write expirationTime
Read lockoutTime
Write lockoutTime
Read Member Of
Write Member Of
Read pwdLastSet
Write pwdLastSet
Read userAccountControl
Write userAccountControl
我还为特定用户的特定 OU 设置了审核,以尝试捕获将密码设置为永不过期的失败日志,但到目前为止我还没有找到它的踪迹。
从我自己的研究来看,我似乎已经涵盖了所有基础。我看到有人提到检查复制,但我并不 100% 确定如何做到这一点。有人能帮忙吗?
谢谢,扎克