Мы разрешаем ИТ-службам в других странах управлять определенными частями своего AD / OU через делегированный контроль. В одном страновом подразделении делегированные права на редактирование параметров учетной записи больше не работают. Это влияет на их возможность установить «Пользователь должен сменить пароль при следующем входе в систему», «Пользователь не может изменить пароль», «Срок действия пароля никогда не истечет» и т. Д. Он не работает из-за ошибки разрешений и создает объект учетной записи пользователя как отключенный. Насколько мы можем судить, с нашей стороны ничего не изменилось. Я просмотрел групповую политику и не увидел ничего, установленного в этом конкретном подразделении, только минимальный и максимальный возраст пароля (минимум 1 максимум 60, часть политики домена по умолчанию). Это мой первый набег в ужасный мир делегированного контроля, поэтому прошу прощения, если перечислил что-то, что не имеет отношения к делу.
Может ли кто-нибудь помочь мне понять, почему они больше не смогут выполнять упомянутые задачи? Я создал свою собственную группу и установил делегированный доступ в том же подразделении с тем же результатом. Вот некоторые из тестов, которые я сделал:
Тест 1
У них есть следующие разрешения:
Reset password
Read accountExpires
Write accountExpires
Read lockoutTime
Write lockoutTime
Read pwdLastSet
Write pwdLastSet
Read userAccountControl
Write userAccountControl
для следующих типов объектов: USER
Тест 2
Create, delete, and manage user accounts
Reset user passwords and force password change at next logon
Read all user information
Modify the membership of a group
для следующих типов объектов: USER
Тест 3
Change password
Reset password
Read and write account restrictions
Read accountExpires
Write accountExpires
Read expirationTime
Write expirationTime
Read lockoutTime
Write lockoutTime
Read Member Of
Write Member Of
Read pwdLastSet
Write pwdLastSet
Read userAccountControl
Write userAccountControl
Я также установил аудит в конкретном подразделении для конкретного пользователя, чтобы попытаться зафиксировать в журнале невозможность установить пароль как никогда не истекающий, но пока мне не удалось найти его след.
Судя по моему собственному исследованию, казалось, что у меня есть все основы. Я видел, как это упоминалось для проверки репликации, но я не уверен на 100%, как это сделать. Кто-нибудь может помочь, пожалуйста?
Спасибо, Зак