У меня вопрос по настройке свойства «Пользователь не может изменить пароль». Может ли по умолчанию группа домена «Операторы учетных записей» изменять это свойство? Если нет, можно ли его делегировать через делегирование AD? Может кто-нибудь потом подробно объяснить, как это сделать.
Кажется, что это может быть сложно делегировать, поскольку это не фактическое свойство учетной записи AD, но изменяет ACE «Изменить пароль» на «SELF» в ACL объекта пользователя, который изменяется на Explicit allow или Deny, когда этот параметр изменяется через графический интерфейс . Насколько я понимаю, делегирование прав редактирования пользователям ACL дает пользователю массу возможностей и может быть небезопасным для среды.