Temos uma conta de serviço que é membro do grupo de administradores de domínio. Isso é algo que me deixa excepcionalmente desconfortável.
Estou tentando mudar isso o mais rápido possível, mas sou relativamente novo nas permissões do AD. O principal uso da conta de serviço é para consultas LDAP, então eu atribuí a conta à associação do usuário do domínio. O problema é que também requer a capacidade de redefinir uma senha em nome de um usuário. Eu estava olhando para Delegate Control, mas só pode ver um "Redefinir senhas de usuário e forçar a mudança no próximo logon". O que é necessário é que o reset ocorra, mas a mudança de força não deve ser ajustada. Eu tentei especificar um papel manualmente, mas estou um pouco fora da minha profundidade com o grande número de permissões diferentes.
Alguém tem alguma orientação sobre quais permissões são necessárias para delegar o controle de redefinições de senha a outro usuário?