Назад | Перейти на главную страницу

Не отключать наследование для делегирования

Я хочу дать обычным «пользователям домена» разрешение на сброс паролей пользователей в группе администраторов домена.

Поэтому я создал подразделение и переместил в него все целевые учетные записи пользователей.

Затем я использовал «Делегировать управление», чтобы дать права на сброс пароля обычному пользователю домена.

После выполнения «Разрешить наследование» для всех учетных записей пользователей все заработало.

Но вскоре после этого наследование пользователей-администраторов домена было отключено. И это перестало работать.

Я считаю, что это делают AdminSDHolder и Protected Groups.

Я не могу удалить пользователей из группы администраторов домена, есть ли другой подход к решению этой проблемы?

Спасибо,

Мне не удалось использовать делегирование по причинам, указанным выше. Вот мой обходной путь:

Запустите dsa.msc Active Directory - пользователи и компьютеры.

  1. Включить View-> Advanced Features
  2. Найдите объект учетной записи пользователя TARGET домена
  3. Щелкните объект правой кнопкой мыши и выберите Свойства.
  4. Выберите вкладку «Безопасность».
  5. Нажмите Добавить в верхнем поле, добавьте учетную запись WORKER и сохраните.
  6. Нажмите Применить
  7. Нажмите «Дополнительно» внизу, откроются дополнительные параметры безопасности для учетной записи.
  8. Дважды щелкните запись учетной записи WORKER, откроется окно редактирования разрешений для учетной записи.

  9. Выберите: Изменить пароль Сбросить пароль Прочитать pwdLastSet Написать pwdLastSet

  10. Нажмите ОК и закройте все окна

Я даже не хочу знать, зачем ты это хочешь. Это такая ужасная идея, это даже не имеет значения.

Вы правы, что AdminSDHolder сбрасывает разрешения для защищенных учетных записей DA. Эта статья Technet объясняет более подробно.

https://technet.microsoft.com/en-us/library/2009.09.sdadminholder.aspx

Также объясняется, что вы можете использовать dsHeuristics атрибут на лесной Directory Service объект, чтобы установить битовый флаг, который определяет, какие группы защищены. Но (к счастью) администраторы домена не входят в группу, которую вы можете исключить.

*Редактировать

Я забыл, что также можно изменить разрешения для фактического объекта AdminSDHolder. Разрешения на этот объект - это то, что ставится на защищенных пользователей. Так что, если вы добавите к нему права пользователей домена, они будут отмечены DA.

Но на самом деле, зачем беспокоиться? В этот момент любые пользователи в домене могут сбросить пароль любого пользователя DA, почему бы просто не сделать всех пользователей DA? Черт, а зачем вообще возиться с пользователями? Просто сделайте фактический пароль администратора домена "12345" и позвоните в день.