permissão de modificação userAccountControl do Active Directory

2

Eu trabalho em uma faculdade para o próximo ano letivo. Todos os alunos com menos de 18 anos devem fazer um teste rápido de segurança antes de receberem logon do Windows (não pergunte) para que as contas sejam criadas em um estado desativado (userAccountControl property in DE ANÚNCIOS). Eu escrevi o programa para consultar os resultados do teste e ele pode habilitar os usuários se eu usar uma conta de domínio.

Mas queremos dar a alguns usuários a substituição manual por vários motivos, por isso é possível criar uma conta de serviço que só seria capaz de modificar a propriedade userAccountControl?

Observação: sou um programador e não um administrador de rede, então, por favor, seja gentil, meu conhecimento de AD é principalmente para consultá-lo

    
por PeteT 19.08.2010 / 17:14

1 resposta

2

É bem possível fazer isso. Na UO do seu aluno (supondo que você tenha um), defina uma permissão para modificá-lo. Para configurá-lo corretamente, no ADU & C, vá para o objeto OU, clique com o botão direito do mouse e vá para Propriedades

  • Na guia Segurança, clique em Avançado
  • Adicione o usuário
  • Selecione a guia Propriedades
  • Altere para "Todos os objetos do usuário descendente"
  • Marque "Ler" e "Gravar" para "UserAccountControl"

Esse objeto agora poderá definir o estado da conta para todos os objetos de usuário nessa UO.

Como lidamos com esse problema é criando um aplicativo da Web com sua própria autenticação (usamos nossa solução de SSO para gerenciar o acesso a ele) que lida com essas solicitações de seus técnicos que desejam exceções. O aplicativo da web executa as ações com a conta criada acima. O aplicativo funciona como um proxy auditável para quem está desbloqueando o que.

    
por 19.08.2010 / 17:44