Não é possível editar opções de conta com acesso de representante AD (acesso negado)

1

Permitimos que os serviços de TI em outros países gerenciem determinadas partes de seu AD / OU por meio do Delegate Control. Em uma OU do País, os direitos de delegação para editar as Opções da Conta não estão mais funcionando. Isso afeta sua capacidade de definir "O usuário deve alterar a senha no próximo logon", "o usuário não pode alterar a senha" e "a senha nunca expira" etc. Ele falha em um erro de permissões e cria o objeto de conta de usuário como desativado. Até onde podemos dizer, nada mudou do nosso lado. Eu olhei na Diretiva de Grupo e não vi nada definido nessa OU específica, apenas o mínimo & idade máxima da senha (min 1 max 60, parte da política de domínio padrão). Esta é a minha primeira incursão no horrível mundo do controle delegado, por isso peço desculpas se listei algo que não é relevante.

Alguém pode me ajudar a entender por que eles não poderiam mais realizar as tarefas mencionadas? Eu criei meu próprio grupo e defini o acesso de delegado na mesma UO, com o mesmo resultado. Aqui estão alguns dos testes que fiz:

Teste 1

Eles têm as seguintes permissões:

Reset password
Read accountExpires
Write accountExpires
Read lockoutTime
Write lockoutTime
Read pwdLastSet
Write pwdLastSet
Read userAccountControl
Write userAccountControl

para os seguintes tipos de objeto: USER

Teste 2

Create, delete, and manage user accounts
Reset user passwords and force password change at next logon
Read all user information
Modify the membership of a group

para os seguintes tipos de objeto: USER

Teste 3

Change password
Reset password
Read and write account restrictions
Read accountExpires
Write accountExpires
Read expirationTime
Write expirationTime
Read lockoutTime
Write lockoutTime
Read Member Of
Write Member Of
Read pwdLastSet
Write pwdLastSet
Read userAccountControl
Write userAccountControl

Também defino a auditoria na unidade organizacional específica para um usuário específico, na tentativa de capturar um log da falha para definir a senha como nunca expira, mas até agora não consegui encontrar um rastreio dela.

De minha própria pesquisa, parecia que eu tinha todas as bases cobertas. Eu já vi isso mencionado para verificar a replicação, mas não tenho 100% de certeza de como fazer isso. Alguém pode ajudar, por favor?

Obrigado Zak

    
por zakgold1 15.06.2015 / 14:52

0 respostas