因此,现在我们服务台的任何人都可以将 AD 密码重置为任何帐户,包括域管理员。我怎样才能让他们可以为标准用户重置密码,但只有系统管理员才能重置其他系统管理员的密码?(说实话,也希望通过添加到组来做同样的事情)谢谢!
答案1
具有提升权限的 AD 帐户(例如域管理员、企业管理员、架构管理员等)将成为受保护用户组的成员(请务必查看 Microsoft 的警告,了解其作用),该组可执行多项操作,包括阻止委派(https://learn.microsoft.com/en-us/windows-server/security/credentials-protection-and-management/protected-users-security-group)。
答案是您需要设计一个好的 AD 结构,以便允许帮助台人员重置用户密码的用户对象应该位于组织单位 (OU) 中,其中帮助台人员在允许更改密码的用户对象所在的 OU 上拥有“重置用户密码并在下次登录时强制更改密码”的委派权限。
另一种方法是创建一个安全组,该组将被授予“重置用户密码并在下次登录时强制更改密码”权限。将服务台帐户添加到安全组。确定用户所在的 OU,服务台帐户应被允许重置其密码。在上述每个 OU 上,将“重置用户密码并在下次登录时强制更改密码”权限委托给您创建的安全组。