Я создал службу, которая имеет возможность сбрасывать, изменять пароли, разблокировать заблокированную учетную запись и читать значения профиля AD (например, sn, имя и т. Д.) Некоторого пользователя домена после того, как пользователь подтвердит себя по телефону. На сервере целевого домена существует привилегированная учетная запись, способная выполнять эти задачи. Я использую API служб каталогов .NET framework и использую привилегированную учетную запись для выполнения задач. До сих пор моя привилегированная учетная запись была в основном администратором домена и могла делать больше, чем требовалось. Теперь, в рамках пробных запусков, мне нужно знать точные политики, которые мне нужны, чтобы выполнять только эти задачи:
Может ли кто-нибудь перечислить необходимые привилегии? Я могу настроить специальную учетную запись и сделать ее частью документации по развертыванию.
Функция, которую вы ищете, это Делегирование прав Active Directory. Он позволяет назначать пользователю или группе права на такие действия, как сброс пароля, редактирование определенных атрибутов Active Directory и т. Д.
Настроить его так же просто, как щелкнуть правой кнопкой мыши подразделение в Active Directory Users and Computers и выбрать «Delegate Control ...». Вероятно, вы могли бы понять это, не читая документацию Microsoft, но я все равно рекомендую вам ее прочитать.