一部のActive Directoryユーザーが誤ってPrint Operatorsに追加され、アカウントが保護されたアカウントその結果、特定の OU の制御を委任されたユーザーは、新しく保護されたユーザーの属性を編集できなくなります。
印刷オペレーターからユーザーを削除し、属性の設定を解除してadminCount、SDProp が実行されるのに十分な時間を確保しましたが、委任された制御を持つユーザーに対しては属性は依然として読み取り専用のままです。
ユーザー アカウントは依然として保護されたアカウントとして扱われているようです。アカウントを通常のアカウントにリセットするにはどうすればいいでしょうか? 各ユーザーの権限を編集するだけですか?
答え1
adminCount 属性をクリアする必要があります (これは実行済みです)。さらに、オブジェクトの詳細セキュリティ設定からオブジェクトの権限継承を再度有効にする必要があります。
答え2
保護されているアカウントを変更する権限を OU に委任することはできません。
1時間に1回、SDPropプロセスが実行され、保護されたアカウントにはOUから継承された権限が付与されます。削除されたまた、アカウントには、SDHolder オブジェクト上の保護されたアカウントに対して定義された ACL が直接アカウントに適用されます。
保護されたアカウントは、別の高度な権限を持つアカウント (同じ SDProp プロセスの対象) からリセットして、admincount をゼロに設定し、権限の継承をリセットする必要があります (SDProp は権限を設定しますが、リセットはしません)。