Estou precisando definir a propriedade userAccountControl de uma conta de usuário para incluir TRUSTED_TO_AUTH_FOR_DELEGATION (0x1000000) e PARTIAL_SECRETS_ACCOUNT (0x04000000).
Para definir TRUSTED_TO_AUTH_FOR_DELEGATION, a conta que executa a operação precisa ser listada na configuração "Ativar contas de computador e contas de usuário para delegação" na política de segurança do controlador de domínio no qual a operação está sendo executada. Uma vez adicionada, a conta pode definir essa bandeira bem.
No entanto, a configuração de PARTIAL_SECRETS_ACCOUNT resulta em acesso negado para qualquer outra conta que não seja um administrador de domínio.
Minha pergunta é: posso delegar permissão para definir o sinalizador PARTIAL_SECRETS_ACCOUNT em uma conta?
Tags active-directory