Services Accounts

5

Temos uma conta de serviço que é membro do grupo de administradores de domínio. Isso é algo que me deixa excepcionalmente desconfortável.

Estou tentando mudar isso o mais rápido possível, mas sou relativamente novo nas permissões do AD. O principal uso da conta de serviço é para consultas LDAP, então eu atribuí a conta à associação do usuário do domínio. O problema é que também requer a capacidade de redefinir uma senha em nome de um usuário. Eu estava olhando para Delegate Control, mas só pode ver um "Redefinir senhas de usuário e forçar a mudança no próximo logon". O que é necessário é que o reset ocorra, mas a mudança de força não deve ser ajustada. Eu tentei especificar um papel manualmente, mas estou um pouco fora da minha profundidade com o grande número de permissões diferentes.

Alguém tem alguma orientação sobre quais permissões são necessárias para delegar o controle de redefinições de senha a outro usuário?

    
por Tim Alexander 04.10.2011 / 16:01

1 resposta

4

As permissões granulares mínimas necessárias para delegar essa tarefa são:

Reset Password    
Read pwdLastSet    
Write pwdLastSet

Você deve criar um novo grupo de segurança, delegar essas permissões a ele usando o Assistente de delegação e adicionar a conta de serviço ao novo grupo.

    
por 04.10.2011 / 16:10