Назад | Перейти на главную страницу

Делегируйте разрешения администраторам на сброс пароля и «Сменить пароль при следующем входе в систему» ​​в AD.

Здравствуйте, я создал панели задач для удаленных администраторов, чтобы сбрасывать пароли для людей на их сайте. Я создал группу для администраторов и предоставил делегирование на сайте OU. Проблема заключается в выполнении «принудительной смены пароля при следующем входе в систему», есть определенные разрешения для пользовательских объектов, которые необходимо включить. Поэтому я включил «ReadPWDLastSet» и «WritePWDLastSet», а также «Сброс пароля» для пользовательских объектов для группы администраторов. К сожалению, при щелчке правой кнопкой мыши по пользователю сообщение «Пользователь должен изменить пароль при следующем входе в систему» ​​становится серым, но на вкладке «Свойства пользователя» -> «Учетная запись» «Пользователь должен изменить пароль при следующем входе в систему» ​​не отображается серым цветом, и они могут его выбрать. . Почему это происходит, какие атрибуты им нужны, чтобы включить его, когда они делают «Щелкните правой кнопкой мыши и сбросьте пароль».

Извините, если вопрос слишком длинный, но дайте мне знать о любых необходимых разъяснениях. Спасибо.

Я просто хочу вернуться и проверить это на виртуальной машине x86 Windows Server 2003 Standard SP2. Я сделал следующее и получил удовлетворительные результаты:

  • Я создал подразделение верхнего уровня в своем домене "Тест"
  • В этом OU я создал пользователя Test1
  • Я создал тестового пользователя «PWReset» в контейнере «Пользователи» по умолчанию.
  • Я использовал мастер «Делегировать управление», чтобы делегировать «Сброс паролей пользователей и принудительное изменение пароля при следующем входе в систему» ​​пользователю «PWReset»

Как только я это сделал, я открыл копию «Active Directory Users and Computers» как пользователь «PWReset» и обнаружил, что могу сбросить пароль пользователя «Test1» и установить флажок «Пользователь должен изменить пароль при следующем входе в систему». .

Если вы собираетесь выполнять делегирование «вручную», вам также необходимо предоставить объекту разрешение «Сброс пароля» для объектов «Пользователь» делегированному участнику вместе с разрешением свойств, чтобы разрешить «Чтение pwdLastSet» и «Запись pwdLastSet» . Лично я бы просто воспользовался мастером.

Это происходит из-за ошибки в Server 2003. Статья в MS KB, которая точно решает проблему, которую вы описываете. Если вы уже получили соответствующий пакет обновления, возможно, ответ @EvanAnderson вам поможет.

http://support.microsoft.com/kb/832481