Я хочу, чтобы пользователи могли сбрасывать свои пароли AD на нашем Windows Server 2012 через наш сервер Jira. Чтобы это произошло, я добавил группу пользователей AD с делегированным управлением из подразделения верхнего уровня для следующих разрешений:
Я добавил в эту группу учетную запись AD, используемую Jira, и включил LDAP через SSL. Кажется, что соединение с Jira AD работает нормально. К сожалению, когда я пытаюсь изменить пароль пользователя, AD возвращает код ошибки 50 с проблемой 4003, что указывает на недостаточные права.
Когда я проверяю расширенные параметры безопасности пользователя Jira AD, делегированные разрешения от группы пользователей кажутся правильно унаследованными. Насколько я понимаю, этого должно хватить. Однако я могу заставить его работать, только добавив пользователя Jira AD в группу встроенных администраторов.
У меня создалось впечатление, что делегирование управления, как я, избавит меня от необходимости добавлять пользователя в группу администраторов. Правильно ли это, или пользователь должен быть администратором, чтобы иметь возможность изменять пароли. Если в этом нет необходимости, есть идеи, как заставить делегацию работать?