我们的一些 Active Directory 用户被错误地添加到 Print Operators,后者已将他们的帐户转换为受保护的帐户. 其结果是,被委派控制特定 OU 的用户无法编辑新受保护用户的属性。
我已从打印操作员中删除了用户,并尝试取消设置属性adminCount,并为 SDProp 运行留出了足够的时间,但对于具有委派控制权的用户来说,属性仍然是只读的。
在我看来,用户帐户仍然被视为受保护帐户。我如何将帐户重置为普通帐户?这只是编辑每个用户的权限的情况吗?
答案1
您需要清除 adminCount 属性(您已完成),并且您需要从对象的高级安全设置中重新启用对象的权限继承。
答案2
无法将修改受保护账户的权限委托给 OU。
SDProp 进程每小时运行一次,受保护的账户具有从 OU 继承的权限已删除,并且该帐户具有在 SDHolder 对象上为受保护帐户定义的 ACL,该 ACL 直接应用于该帐户。
受保护的帐户需要从另一个高权限帐户(受相同 SDProp 过程的约束)重置,将管理员计数设置为零并重置权限继承。(SDProp 设置权限但不重置)。