.png)
私たちは、他の国の IT サービスが委任制御を介して AD/OU の特定の部分を管理することを許可しています。ある国の OU では、アカウント オプションを編集する委任権限が機能しなくなりました。これは、「ユーザーは次回ログオン時にパスワードを変更する必要があります」、「ユーザーはパスワードを変更できません」、「パスワードは無期限です」などを設定する機能に影響します。これはアクセス許可エラーで失敗し、ユーザー アカウント オブジェクトが無効として作成されます。私たちの知る限り、私たちの側では何も変更されていません。グループ ポリシーを確認しましたが、その特定の OU には何も設定されておらず、パスワードの最小および最大有効期間 (最小 1、最大 60、既定のドメイン ポリシーの一部) のみが設定されていました。これは、委任制御の恐ろしい世界への私の最初の進出であるため、関係のないものをリストしていた場合はお詫び申し上げます。
上記のタスクを実行できなくなった理由を教えていただけませんか? 独自のグループを作成し、同じ OU に代理人アクセスを設定しましたが、結果は同じでした。私が行ったテストをいくつか紹介します。
テスト1
以下の権限があります:
Reset password
Read accountExpires
Write accountExpires
Read lockoutTime
Write lockoutTime
Read pwdLastSet
Write pwdLastSet
Read userAccountControl
Write userAccountControl
次のオブジェクトタイプの場合: USER
テスト2
Create, delete, and manage user accounts
Reset user passwords and force password change at next logon
Read all user information
Modify the membership of a group
次のオブジェクトタイプの場合: USER
テスト3
Change password
Reset password
Read and write account restrictions
Read accountExpires
Write accountExpires
Read expirationTime
Write expirationTime
Read lockoutTime
Write lockoutTime
Read Member Of
Write Member Of
Read pwdLastSet
Write pwdLastSet
Read userAccountControl
Write userAccountControl
また、パスワードを無期限に設定できなかったことのログを取得するために、特定のユーザーの特定の OU に監査を設定しましたが、これまでのところ、その痕跡を見つけることができていません。
私自身の調査から、すべての基礎をカバーしているように見えました。レプリケーションを確認するように言及されているのを見ましたが、その方法が 100% わかりません。誰か助けてくれませんか?
ありがとう、ザック