Como revogar permissão de alteração de senha somente para usuários em uma UO específica?

2

Eu tenho uma pergunta sobre a permissão do diretório ativo para alterar a senha. É possível revogar a permissão para alterar a senha para usuários de UO específica?

Como posso realizar essa tarefa? Eu sei que isso pode ser feito para um grupo específico de usuários, mas é possível para usuários em uma UO específica?

UPDATE

Obrigado por todas as suas respostas. Eles foram realmente úteis. Infelizmente, não posso defender essas respostas devido à minha baixa reputação;)

95% dos usuários estão na UO que estou escrevendo. Estou pensando em remover permissão de alteração de senha do grupo Todos e criar grupo para usuários que poderiam alterar suas senhas. O problema é que os usuários dessa UO estão em outro aplicativo e devem alterar sua senha usando este aplicativo, não no AD. Os usuários que não estão nessa UO estão apenas no AD, portanto, podem alterar suas senhas no AD.

Você acha que seria uma boa solução ou haverá problemas com isso?

Obrigado pela ajuda.

    
por empi 13.07.2009 / 11:42

5 respostas

2

As respostas de John Rennie e Sam Cogan (como John tão apropriadamente afirma) são "hacks" na medida em que tentam desabilitar a interface do usuário para alterar as senhas, mas não tiram a habilidade do usuário de alterar sua senha.

Acho que você está procurando uma alteração nos conjuntos de permissões do Active Directory por padrão na unidade organizacional em que as contas de usuário estão localizadas. Eu vou alertar você contra isso. Como a Microsoft já fornece essa funcionalidade por meio de um atributo nos objetos da conta do usuário, é realmente melhor usar esse atributo já fornecido do que alterar as permissões do AD. É provável que você encontre uma permissão que funcione e também é provável que o sistema operacional não exiba mensagens úteis.

Você realmente deve apenas todos os usuários afetados usando Usuários e Computadores do Active Directory e modificando as propriedades das contas de usuário em massa. A resposta de Dart é funcionalmente a mesma que selecionar todas as contas de usuário e configurar seu "Usuário não pode alterar a senha" graficamente. Se você gosta da linha de comando melhor, faça isso.

Há uma funcionalidade para fazer isso com um "direito estendido" usando as permissões do Active Directory no Windows 2003. Não estou encontrando boa documentação sobre o recurso. Veja alguns detalhes sobre os "direitos estendidos" associados à alteração de senhas, a primeira relacionada ao "Modo Aplicativo" do Active Directory (ou qualquer que seja o nome da Microsoft nesta semana):

Eu tentei verificar a resposta de Massimo colocando uma permissão "SELF - Negar - Objetos do Usuário - Direito Estendido: Alterar Senha" em uma UO em meu teste W2K3 Active Directory (Nível Funcional do Domínio Windows 2003) e descobri que os objetos do usuário ou abaixo dessa UO ainda podiam alterar suas senhas usando a funcionalidade de alteração de senha da GUI. Olhando para cada objeto de usuário, pude ver a permissão "Negar" herdada, mas o Active Directory pareceu ignorá-la.

A simples remoção da permissão "SELF - Permitir - Alterar Senha" em um objeto de usuário deu a mesma funcionalidade que o teste acima. O usuário ainda tinha permissão para alterar sua senha.

Eu diria, com base nisso, que a resposta de Massimo também não faz o que você quer.

Encontrei este artigo da Microsoft e testei-o. Quando eu segmentar o script em um objeto de usuário individual, ele se comporta conforme desejado e o usuário não pode alterar sua senha . No entanto, isso não é muito útil para você, já que deseja definir isso de acordo com a OU.

Quando eu visar esse script da Microsoft em uma unidade organizacional, no entanto, o comportamento por mais tempo é o esperado. (Além disso, se eu modificar as ACEs adicionadas à UO para aplicar a "Objetos objeto e filho" em vez de "Somente este objeto", conforme concedido pelo script, o comportamento ainda não será o esperado. )

Eu estou realmente batendo minha cabeça em uma parede neste. Isso parece um capricho do comportamento do Active Directory que não está bem documentado. Já passei pelos "Serviços de Domínio do Active Directory" e Documentação do esquema do Active Directory e não estou encontrando documentação para descrever esse comportamento.

    
por 13.07.2009 / 13:04
1

Consulte o link

No entanto, note que isso é um truque. Ele não impede que os usuários alterem suas senhas, apenas remove a opção de fazer isso da caixa de diálogo ctrl-alt-del. Os usuários ainda podem usar um trocador de senha de linha de comando.

JR

    
por 13.07.2009 / 12:25
0

Sim, você pode fazer isso por meio da política de grupo. Abra o editor de política de grupo para a OU que você deseja restringir (clique com o botão direito do mouse em OU, propriedades, guia de política de grupo). Crie uma nova política ou edite uma existente e vá para:

User Configuration -> Administrative Templates -> System

Aqui, selecione Ctrl + Alt + Del Options, no painel direito, ative a opção "Remove Change Password".

Feche o editor de políticas de grupo. Para garantir sua aplicação, abra imediatamente um prompt de comando e execute

gpupdate /target:user /force
    
por 13.07.2009 / 12:25
0

Use o dsmod. Para um guia para fazer isso para uma OU, consulte link

    
por 13.07.2009 / 12:56
0

Você pode remover a permissão para fazer isso para um usuário específico removendo (ou explicitamente negando) "alterar senha" dos direitos do usuário atribuídos a "SELF".

Você precisa editar manualmente a ACL no próprio objeto do usuário; você pode acessá-lo ativando recursos avançados no console Usuários e Computadores do Active Directory (Exibir -> Recursos avançados), abrindo as propriedades do usuário e selecionando "Segurança".

    
por 13.07.2009 / 13:03