つまり、現在、ヘルプ デスクの誰でも、ドメイン管理者を含むすべてのアカウントの AD パスワードをリセットできます。標準ユーザーのパスワードをリセットできる一方で、他のシステム管理者のパスワードをリセットできるのはシステム管理者のみにするにはどうすればよいでしょうか? (グループに追加しても同じことをしたいと考えています) ありがとうございます!
答え1
昇格された権限を持つADアカウント(例:ドメイン管理者、エンタープライズ管理者、スキーマ管理者など)は、Protected Usersグループのメンバーになります(それが何を行うかについてはMicrosoftの警告を確認してください)。このグループは、委任の防止(https://learn.microsoft.com/en-us/windows-server/security/credentials-protection-and-management/protected-users-security-group)。
答えは、ヘルプデスク担当者がユーザー パスワードのリセットを許可されるユーザー オブジェクトが、ヘルプデスク担当者がパスワードの変更を許可されるユーザー オブジェクトが配置されている組織単位 (OU) で「ユーザー パスワードをリセットし、次回ログオン時にパスワードの変更を強制する」権限を委任されている OU 内に存在するように、適切な AD 構造を設計する必要があるということです。
もう 1 つの方法は、「ユーザー パスワードをリセットし、次回ログオン時にパスワードの変更を強制する」権限を委任するセキュリティ グループを作成することです。ヘルプ デスク アカウントをセキュリティ グループに追加します。ヘルプ デスク アカウントがパスワードをリセットできるようにするユーザーが配置されている OU を特定します。前述の各 OU で、作成したセキュリティ グループに「ユーザー パスワードをリセットし、次回ログオン時にパスワードの変更を強制する」権限を委任します。