我正在尝试向非管理员用户授予 ForceChangePW 权限,如下所示:
因此,在控制委托向导中,我检查了以下任务
然后,在另一台计算机上,我以该用户身份登录,当我尝试修改域管理员用户的密码时,例如net user XXX newpassword /domain
我仍然收到“访问被拒绝”错误
有任何想法吗?
答案1
受保护组的成员(例如域管理员)的安全权限 (ACL) 每小时都会重置一次。即使您将权限委托给另一个安全主体,它也不会适用于受保护的用户。
AdminSDHolder、受保护组和 SDPROP
https://technet.microsoft.com/en-us/library/2009.09.sdadminholder.aspx