我正在尝试将权限委托给我的帮助台技术人员,以允许他们重置 Win2008 R2 AD 中的用户密码。我使用了 ADUC 中的委托控制向导,并将预定义权限“重置用户密码并强制更改下次登录的密码”委托给“帮助台”AD 组,我们所有的帮助台技术人员都是该组的成员。我将此权限委托给 AD 中的默认用户容器,我们所有的最终用户帐户都位于该容器下。
我已经使用 ADUC 手动连接到每个 DC,并运行委派向导以确保所有 DC 都知道委派。
我在默认用户容器中创建了一个测试 AD 用户帐户。我设置了一个测试 Win7 虚拟机并将其加入域。然后我以帮助台用户之一的身份登录此 VM,并尝试从命令行重置测试 AD 帐户的密码:
网络用户测试用户Somepassword1 /domain
这是我收到的回复:
该请求将在域 mycompany.local 的域控制器上处理。
发生系统错误 5。
拒绝访问。
如果我以域管理员帐户登录并在计算机上运行该命令,则该命令对我来说效果很好。
我检查了其他一些类似的问题,有人建议检查有效权限,但我不确定如何去做。
答案1
我会尝试使用 Powershell 而不是 net 命令,您需要在 Windows 7 VM 中安装管理包 (RSAT),然后在 powershell 中安装
import-module activedirectory
Set-ADAccountPassword testuser -NewPassword mypassword1 -Verbose