Я пытаюсь делегировать права на разблокировку учетных записей пользователей в нашем домене Active Directory. Это должно быть легко, и я делал это раньше ... но каждый раз, когда пользователь пытается разблокировать учетную запись (используя Инструмент LockoutStatus), он получает отказ с ошибкой «У вас нет необходимых разрешений для разблокировки этой учетной записи».
Вот что я сделал:
... Это охватывает все основы, которые я могу придумать. Что еще я мог упустить?
Если вы столкнулись с проблемой с учетными записями администратора, это может быть связано с тем, что разрешения сбрасываются каждый час из-за AdminSDHolder.
Вы проверили, что рассматриваемым администраторам не было явно отказано в доступе к этому атрибуту через членство в другой группе?
У меня была аналогичная проблема несколько месяцев назад, чтобы решить эту проблему, я создал новую группу в AD, добавил туда пользователей, затем я создал групповую политику нового домена и создал группу с ограничениями в политике нового домена, затем я добавил все пользователей, которым нужен доступ к инструменту блокировки AD из новой группы AD, которую я создал, в группу с ограниченным доступом в новой групповой политике, и это сработало.
Просто убедитесь, что вы сначала протестируете это на тестовом домене, чтобы убедиться, что вы ничего не сломаете вживую.