Delega dei diritti di sblock dell'account in AD

Sto provando a debind i diritti per sbloccare gli account utente nel nostro dominio di Active Directory. Questo dovrebbe essere facile e lo ho fatto prima … ma each volta che l'utente cerca di sbloccare un account (utilizzando lo strumento LockoutStatus ) viene negato con l'errore "Non hai le autorizzazioni necessarie per sbloccare questo account ".

Ecco cosa ho fatto:

  • Ho creato un gruppo locale di dominio e ho aggiunto i membri che dovrebbero avere i diritti. Questo è stato creato più di una settimana fa, quindi gli utenti sono stati disconnessi e nuovamente.
  • In ADUC, ho utilizzato la procedura guidata dei diritti di delegazione nell'OU che contiene i nostri account utente per concedere le autorizzazioni alla lettura del lockoutTime e Writer lockoutTime al gruppo, per MSKB 279723
  • Ho controllato due volte che le autorizzazioni sono state applicate correttamente in ADSIEdit.
  • Ho costretto la replica tra tutti i controller di dominio per assicurare che le modifiche delle autorizzazioni siano state copiate.
  • L'utente che ha eseguito il test ha eseguito la disconnessione e di nuovo per assicurarsi di aver apportto modifiche al suo account.

… che copre tutte le basi che posso pensare. Qualcosa altro che potrei mancare?

  • Accesso agli elementi del pannello di controllo per gli utenti della directory triggers
  • Come posso programmare un'attività per eseguire indefinitamente each ora su Server 2003
  • Spec per una casella Servizi terminal?
  • Come trasferire testdata in testlink da un server a un altro?
  • Impostazione della politica di password sulla macchina che fa parte di un dominio
  • Come posso assicurare che gli utenti VPN di casa non salvino la password di connessione?
  • Quali diritti richiede all'account di accedere come un lavoro batch?
  • Prestazioni del server
  • 3 Solutions collect form web for “Delega dei diritti di sblock dell'account in AD”

    Se si sta affrontando problemi con gli account amministrativi, potrebbe essere correlato alle autorizzazioni che vengono ripristinate each ora a causa di AdminSDHolder

    Dettagli

    Hai verificato che gli amministratori in questione non hanno esplicitamente negato l'accesso a tale attributo attraverso l'adesione ad un altro gruppo?

    Ho avuto un problema simile qualche mese fa, per risolvere il problema che ho creato un nuovo gruppo in AD, aggiungere gli utenti lì, ho creato una nuova politica di dominio e creai un gruppo limitato nella nuova politica di dominio, poi ho aggiunto tutti degli utenti che hanno bisogno dell'accesso allo strumento di block AD dal nuovo gruppo AD creato al gruppo Restricted nel nuovo criterio di gruppo e nel bingo che ha funzionato.

    Assicuratevi solo di verificare questo in un primo dominio di prova per assicurarvi di non rompere nulla in diretta.

    Suggerimenti per Linux e Windows Server, quali Ubuntu, Centos, Apache, Nginx, Debian e argomenti di rete.