我想让用户通过我们的 Jira 服务器重置 Windows Server 2012 上的 AD 密码。为了实现这一点,我添加了一个 AD 用户组,该组具有来自顶级 OU 的委派控制权,具有以下权限:
- 更改密码
- 重设密码
- 读取用户账户控制
- 写入用户帐户控制
- 读取上次设置的密码
- 写入密码最后设置
我将 Jira 使用的 AD 帐户添加到此组并启用了 LDAP over SSL。Jira AD 连接似乎以这种方式正常工作。不幸的是,当我尝试更改用户密码时,AD 返回错误代码 50 并出现问题 4003,表示权限不足。
当我检查 Jira AD 用户的高级安全设置时,用户组的委派权限似乎被正确继承。据我所知,这应该足够了。但是,我只能通过将 Jira AD 用户添加到内置管理员组才能使其正常工作。
我以为像我这样委派控制权会阻止我将用户添加到管理员组。是这样吗?还是用户必须是管理员才能更改密码。如果没有必要,有什么想法可以让委派发挥作用?