Наша проблема:
Клиент, обычный пользователь, должен иметь возможность сбрасывать сразу несколько паролей. Около 30 за раз. Для этого потребуется Powershell или что-то в этом роде, но для AD и Powershell нужно быть администратором домена.
Моим решением было бы создать службу, работающую на сервере AD и принимающую соединения от программы. Затем служба внесет изменения в AD.
Пока все хорошо, я просто хотел бы услышать некоторые другие мысли по этой проблеме. Потому что я не могу быть единственным с этим
Почему бы не использовать делегирование?
Объедините пользователей в OU, создайте группу, которая сможет управлять ими (или нет, на ваш выбор). После этого щелкните подразделение правой кнопкой мыши и выберите «Делегировать управление».
После этого следуйте указаниям мастера, чтобы разрешить определенной группе / пользователям вносить изменения в объекты (или подмножество объектов) в OU.
Когда ваше делегирование настроено, вы можете сбросить все пароли через Powershell. Если вы хотите сделать это легко, рекомендую использовать Quest-командлеты.
get-QADUser -SearchRoot 'company.com/SpecialUsersOU' | set-QADUser -userPassword "MyCompanyIsAwesomeAndThisIsAHardPassword!" -whatIf