У нас есть сервисная учетная запись, которая является членом группы администраторов домена. Это то, что меня особенно не устраивает.
Я хочу изменить это как можно скорее, но я новичок в разрешениях AD. В основном учетная запись службы используется для запросов LDAP, поэтому я назначил этой учетной записи членство в домене. Проблема в том, что для этого также требуется возможность сбросить пароль от имени пользователя. Я искал делегирование управления, но вижу только «Сброс пользовательских паролей и принудительное изменение при следующем входе в систему». Что необходимо, так это чтобы сброс произошел, но изменение силы не должно быть установлено. Я попытался указать роль вручную, но мне не до конца из-за огромного количества различных разрешений.
Есть ли у кого-нибудь рекомендации о том, какие разрешения требуются для делегирования управления сбросом паролей другому пользователю?
Минимальные детальные разрешения, необходимые для делегирования этой задачи:
Reset Password
Read pwdLastSet
Write pwdLastSet
Вы должны создать новую группу безопасности, делегировать ей эти разрешения с помощью мастера делегирования, а затем добавить учетную запись службы в новую группу.