我想授予普通“域用户”重置域管理员组中用户密码的权限。
因此我创建了一个 OU 并将所有用户帐户目标移入其中。
然后我使用“委派控制”将密码重置权限授予普通域用户。
对所有用户帐户执行“启用继承”后,它就起作用了。
但此后不久,域管理员用户的继承就被禁用了。并且它停止了工作。
我相信这是 AdminSDHolder 和 Protected Groups 所为。
我无法从域管理员组中删除用户,还有其他方法可以解决这个问题吗?
谢谢,
答案1
我甚至不想知道你为什么要这么做。这是一个糟糕的想法,根本不重要。
您说得对,AdminSDHolder 正在重置受保护的 DA 帐户的权限。这篇 Technet 文章对此进行了更深入的解释。
https://technet.microsoft.com/en-us/library/2009.09.sdadminholder.aspx
它还解释了您可以使用dsHeuristics林对象的属性Directory Service来设置一个位标志,以确定哪些组受到保护。但(幸运的是),域管理员不是您可以排除的组之一。
*编辑
我忘记了还可以修改实际 AdminSDHolder 对象的权限。该对象上的权限会被标记到受保护的用户身上。因此,如果您在其上添加了域用户权限,这些权限就会被标记到 DA 上。
但说真的,何必这么麻烦呢?既然域中的任何用户都可以重置任何 DA 用户的密码,为什么不直接让所有用户都成为 DA 呢?见鬼,为什么要费心去管用户呢?只需将实际的域管理员密码设为“12345”就可以了。
答案2
由于上述原因,我未能使用委托。以下是我的解决方法:
运行 dsa.msc Active Directory 用户和计算机。
- 启用视图->高级功能
- 找到目标域用户帐户对象
- 右键单击对象并选择属性
- 选择“安全”选项卡。
- 点击顶部框中的添加,添加WORKER账户并保存
- 单击“应用”
- 点击底部的高级,将出现该帐户的高级安全设置。
- 双击 WORKER 账户条目,将出现该账户的权限编辑。
选择:更改密码 重置密码 读取密码最后设置 写入密码最后设置
单击“确定”并关闭所有窗口