Necessidade de forçar a herança de segurança no diretório ativo dos usuários

3

Portanto, tenho um grupo de usuários no AD que, por algum motivo, não herdam as permissões da segurança aplicada à UO em que estão. Isso é problemático, porque os operadores de contas não podem desbloquear, alterar senhas etc. e eles precisam ser capazes de fazer isso.

Eu só quero forçar a herança para todos os usuários, mas não sei como fazer isso. Alguma idéia?

Obrigado pela ajuda!

    
por Shyatic 24.03.2011 / 20:27

2 respostas

8

Você pode ativar / desativar a herança em dsa se ativar Recursos avançados em Visualizar . Isso adicionará uma guia Segurança (entre outras) às propriedades do objeto. Na aba Segurança clique no botão Avançado e marque / desmarque Incluir permissões herdáveis do pai deste objeto .

Comoalternativa,vocêpodeusaralinhadecomandoparaativaraherança.Ocomando dsacls permite modificar as ACLs do domínio. O seguinte permitiria a herança do meu objeto de usuário:

dsacls "CN=Jason Scott,OU=Staff,OU=ISC,OU=Buildings & Depts,DC=my,DC=domain,DC=edu" /P:Y

Se você precisar configurar a herança para um grande número de objetos do usuário, agrupe o acima em um loop FOR que chama dsquery . Um exemplo de força bruta seria algo como:

FOR /F "usebackq delims=;" %A IN ('dsquery user -limit 0') DO dsacls %A /P:Y

Se esses usuários não fizerem "herdar" automaticamente, talvez você veja um efeito colateral de AdminSDHolder . Se você remover os usuários de todos os grupos protegidos do AdminSDHolder, eles deverão manter suas configurações de herança.

    
por 24.03.2011 / 21:22
0

Operadores de conta por padrão devem ter as permissões em questão em todos os objetos de usuário no domínio. Essa segurança é baseada na ACL de segurança nos objetos Usuário. Nos usuários do AD e computadores MMC, vá para exibir e selecione "Recursos avançados". Em seguida, pesquise por um usuário suspeito de não herdar permissões e exibir as propriedades. Localize a guia "Segurança" e pressione o botão "Avançado" para ver se a opção "Incluir permissões herdáveis do pai deste objeto" está marcada e o grupo Operadores de contas está listado na ACL com as permissões apropriadas.

    
por 24.03.2011 / 21:19