我创建了一项服务,该服务能够在用户通过电话验证后重置、更改密码、解锁锁定的帐户并读取某些域用户的 AD 配置文件值(例如 sn、firstname 等)。在目标域服务器上,存在一个能够执行这些任务的特权帐户。我使用 .NET 框架目录服务 API 并使用特权帐户执行任务。到目前为止,我的特权帐户基本上是域管理员,能够执行比要求更多的任务。现在,作为试运行的一部分,我需要知道执行这些任务所需的确切策略:
- 重置用户密码
- 重置用户密码并将密码标记为已过期
- 更改用户密码(用户将提供当前密码)
- 解锁已锁定的帐户
- 读取用户的 AD 配置文件属性
有人可以列出所需的权限吗?我可以配置一个特殊帐户并将其作为部署文档的一部分。
答案1
您正在寻找的功能是Active Directory 权限委派。它允许您分配用户或组权限来执行诸如重置密码、编辑特定的 Active Directory 属性等操作。
设置过程非常简单,只需在 Active Directory 用户和计算机中右键单击 OU 并选择“委派控制...”即可。您可能无需阅读 Microsoft 的文档就能搞清楚,但我还是建议您阅读一下。