Como delegar direitos de desbloqueio da conta no AD

5

Estou tentando delegar os direitos para desbloquear contas de usuário em nosso domínio do Active Directory. Isso deve ser fácil, e eu fiz isso antes ... mas toda vez que o usuário tenta desbloquear uma conta (usando o Ferramenta LockoutStatus ), ele é negado com o erro" Você não tem as permissões necessárias para desbloquear esta conta. "

Veja o que eu fiz:

  • Eu criei um grupo local de domínio e adicionei os membros que devem ter os direitos. Isso foi criado há uma semana, então os usuários fizeram o logout e entraram novamente.
  • No ADUC, usei o assistente Delegate Rights na UO, que contém nossas contas de usuário para conceder permissões para Read lockoutTime e Writout lockoutTime ao grupo, por MSKB 279723
  • Eu verifiquei duas vezes se as permissões foram aplicadas corretamente no ADSIEdit.
  • Eu forcei a replicação entre todos os controladores de domínio para garantir que as alterações de permissão foram copiadas.
  • O teste do usuário foi desconectado e novamente para garantir que ele tenha alguma alteração aplicada à sua conta.

... Isso cobre todas as bases em que posso pensar. Alguma outra coisa que eu possa estar faltando?

    
por ewall 25.09.2009 / 16:33

3 respostas

3

Se você está enfrentando problemas com contas de administrador, isso pode estar relacionado a permissões que são redefinidas a cada hora devido a AdminSDHolder

Detalhes

    
por 28.09.2009 / 01:23
1

Você verificou que os administradores em questão não tiveram acesso explicitamente negado a esse atributo por meio da participação em outro grupo?

    
por 29.06.2010 / 09:59
0

Eu tive um problema semelhante há alguns meses, para resolver o problema, criei um novo grupo no AD, adicionei os usuários lá, criei uma nova diretiva de grupo de domínio e criei um grupo restrito na nova diretiva de domínio. Eu adicionei todos os usuários que precisam acessar a ferramenta AD Lockout do novo grupo AD que criei para o grupo Restrito na nova política de grupo e no bingo que funcionou.

Apenas certifique-se de testar isso em um domínio de teste primeiro, para garantir que você não quebre nada ao vivo.

    
por 18.06.2010 / 12:17