O Active Directory falhou ao delegar permissões de redefinição de senha de usuário

2

Não estou conseguindo delegar um usuário para redefinir senhas. Eu fiz todas as permissões mínimas de

Redefinir senha Ler pwnlastset Escreva pwnlastset

O usuário é herdado do grupo Operadores de conta.

Estou revivendo um acesso negado quando tento redefinir a senha.

Alguma idéia?

    
por Nir Shezifi 09.11.2011 / 16:26

3 respostas

2

Isso pode ser causado por várias coisas. Os três mais óbvios são:

1) A delegação não herda corretamente a estrutura da UO. Inspecione as permissões de um objeto ou sub-UO real da conta de usuário no AD e verifique se o grupo ao qual você está delegando está listado corretamente.

2) Você não delegou as permissões corretas. Para operações simples como Reset Password , há ACEs predefinidas no assistente de delegação. Execute o assistente de delegação na unidade organizacional apropriada e marque a opção "Redefinir senha do usuário". Isso simplificará sua interação direta com as permissões do AD para descartar isso.

3) A conta de usuário que você está tentando redefinir pode estar protegida da herança de permissões. Isso acontece se eles forem membros de determinados grupos do AD integrados. Inspecione a conta de usuário em questão e verifique se o atributo admincount é 0. Se for 1, significa que é ou foi membro de um grupo protegido, como Operadores de Conta ou Operadores de Backup. O Active Directory não permite que permissões herdem essas contas.

    
por 11.11.2011 / 21:07
0

O único outro atributo que eu possa pensar que pode ser importante para uma redefinição é userAccountControl - ele será usado se, por exemplo, você marcar a caixa "A senha nunca expira".

Se isso não funcionar, ative o log de segurança para alterações do AD e, em seguida, observe qual atributo está falhando no log de auditoria - mas antes disso, comece com o básico; certifique-se de que o usuário que fez a alteração tenha permitido (e não negue) os itens certos na guia de permissões efetivas.

    
por 09.11.2011 / 16:53
0

Primeiro, você deve usar o assistente de delegação, em vez de configurar manualmente as senhas. Isso garante que as permissões apropriadas tenham sido definidas. Neste caso, estas são as permissões corretas. Segundo, certifique-se de que o usuário seja um membro do grupo correto no qual você delegou os direitos. Por fim, certifique-se de que você está tentando isso em um DC para o qual as alterações foram replicadas. Você pode forçar a replicação para o DC que o usuário autenticou (que será o que o snapin conecta por padrão) ou conectar o snap-in ao DC no qual você fez as alterações.

    
por 09.11.2011 / 17:01