Wie widerrufe ich die Berechtigung zum Ändern des Kennworts nur für Benutzer in bestimmten Organisationseinheiten?

Wie widerrufe ich die Berechtigung zum Ändern des Kennworts nur für Benutzer in bestimmten Organisationseinheiten?

Ich habe eine Frage zur Active Directory-Berechtigung zum Ändern von Passwörtern. Ist es möglich, die Berechtigung zum Ändern von Passwörtern für Benutzer einer bestimmten Organisationseinheit zu widerrufen?

Wie kann ich diese Aufgabe erledigen? Ich weiß, dass dies für bestimmte Benutzergruppen möglich ist, aber ist dies auch für Benutzer in bestimmten Organisationseinheiten möglich?

AKTUALISIEREN

Danke für all eure Antworten. Sie waren wirklich hilfreich. Leider kann ich diese Antworten aufgrund meines schlechten Rufs nicht hochstimmen ;)

95 % der Benutzer befinden sich in der OU, über die ich schreibe. Ich denke darüber nach, die Berechtigung zum Ändern von Passwörtern aus der Gruppe „Jeder“ zu entfernen und eine Gruppe für Benutzer zu erstellen, die ihre Passwörter ändern können. Das Problem ist, dass Benutzer aus dieser OU sich in einer anderen Anwendung befinden und ihr Passwort mit dieser App ändern sollten, nicht in AD. Benutzer, die sich nicht in dieser OU befinden, befinden sich nur in AD, sodass sie ihre Passwörter in AD ändern können.

Glauben Sie, dass das eine gute Lösung wäre oder wird es damit Probleme geben?

Danke für die Hilfe.

Antwort1

Die Antworten von John Rennie und Sam Cogan (wie John so treffend feststellt) sind insofern „Hacks“, als sie versuchen, die Benutzeroberfläche zum Ändern von Passwörtern zu deaktivieren, dem Benutzer jedoch nicht tatsächlich die Möglichkeit nehmen, sein Passwort zu ändern.

Ich denke, Sie möchten die Berechtigungen ändern, die Active Directory standardmäßig für die Organisationseinheit festlegt, in der sich die Benutzerkonten befinden. Ich möchte Sie davor warnen. Da Microsoft diese Funktionalität bereits über ein Attribut für die Benutzerkontoobjekte bereitstellt, ist es wirklich besser, dieses bereits bereitgestellte Attribut zu verwenden, als die AD-Berechtigungen zu ändern. Es ist wahrscheinlich, dass Sie eine Berechtigung finden, die funktioniert, und es ist genauso wahrscheinlich, dass das Betriebssystem keine hilfreichen Meldungen anzeigt.

Sie sollten wirklich einfach alle betroffenen Benutzer mit Active Directory-Benutzern und -Computern auswählen und die Eigenschaften der Benutzerkonten en masse ändern. Darts Antwort ist funktional dieselbe wie die Auswahl aller Benutzerkonten und die grafische Festlegung ihres „Benutzer kann Kennwort nicht ändern“. Wenn Ihnen die Befehlszeile besser gefällt, tun Sie das.

Es gibt eine Funktion, dies mit einem „Erweiterten Recht“ unter Verwendung von Active Directory-Berechtigungen in Windows 2003 zu tun. Ich finde keine gute Dokumentation zu dieser Funktion. Hier einige Hintergrundinformationen zu den „Erweiterten Rechten“ im Zusammenhang mit dem Ändern von Passwörtern, wobei sich die ersten auf den „Anwendungsmodus“ von Active Directory beziehen (oder wie auch immer Microsoft ihn diese Woche nennt):

Ich habe versucht, Massimos Antwort zu überprüfen, indem ich einer OU in meinem Test-Active Directory W2K3 (Domänenfunktionsebene Windows 2003) die Berechtigung „SELF – Deny – Benutzerobjekte – Erweitertes Recht: Kennwort ändern“ zugewiesen habe. Dabei habe ich festgestellt, dass die Benutzerobjekte auf oder unter dieser OU ihre Kennwörter mithilfe der GUI-Kennwortänderungsfunktion weiterhin ändern konnten. Beim Betrachten jedes Benutzerobjekts konnte ich die übernommene Berechtigung „Deny“ sehen, aber Active Directory schien sie zu ignorieren.

Durch das Entfernen der Berechtigung „SELF – Zulassen – Kennwort ändern“ für ein Benutzerobjekt erhielt ich die gleiche Funktionalität wie im obigen Test. Der Benutzer durfte sein Kennwort weiterhin ändern.

Auf dieser Grundlage würde ich sagen, dass Massimos Antwort auch nicht das bewirkt, was Sie wollen.

ich fandDieser Artikelvon Microsoft und habe es getestet. Wenn ich das Skript auf ein einzelnes Benutzerobjekt ausrichte, verhält es sich wie gewünscht undDer Benutzer kann sein Passwort nicht ändern. Dies hilft Ihnen allerdings nicht viel, da Sie dies für jede Organisationseinheit einzeln festlegen möchten.

Wenn ich das Skript von Microsoft jedoch auf eine OU ausrichte, ist das Verhalten länger wie erwartet. (Wenn ich außerdem die der OU hinzugefügten ACEs ändere, damit sie auf „Dieses Objekt und untergeordnete Objekte“ angewendet werden, anstatt auf „Nur dieses Objekt“, wie vom Skript gewährt, ist das VerhaltenTrotzdemist nicht wie erwartet.)

Ich renne hier wirklich gegen die Wand. Das sieht nach einer Eigenart des Active Directory-Verhaltens aus, die nicht gut dokumentiert ist. Ich habe die„Active Directory-Domänendienste“UndActive Directory-SchemaDokumentation und ich finde keine Dokumentation, die dieses Verhalten beschreibt.

Antwort2

Sehenhttp://support.microsoft.com/kb/324744

Beachten Sie jedoch, dass dies ein kleiner Hack ist. Es hindert Benutzer nicht daran, ihre Passwörter zu ändern, es entfernt lediglich die Option dazu aus dem Strg-Alt-Entf-Dialog. Benutzer könnten weiterhin einen Befehlszeilen-Passwortwechsler verwenden.

JR

Antwort3

Ja, Sie können dies über die Gruppenrichtlinie tun. Öffnen Sie den Gruppenrichtlinieneditor für die Organisationseinheit, die Sie einschränken möchten (rechtsklicken Sie auf Organisationseinheit, Eigenschaften, Registerkarte Gruppenrichtlinie). Erstellen Sie eine neue Richtlinie oder bearbeiten Sie eine vorhandene und gehen Sie zu:

User Configuration -> Administrative Templates -> System

Wählen Sie hier „Strg+Alt+Entf“ und aktivieren Sie im rechten Bereich die Option „Passwort ändern entfernen“.

Schließen Sie den Gruppenrichtlinieneditor. Um sicherzustellen, dass die Richtlinien sofort angewendet werden, öffnen Sie eine Eingabeaufforderung und führen Sie Folgendes aus:

gpupdate /target:user /force

Antwort4

Sie können einem bestimmten Benutzer diese Berechtigung entziehen, indem Sie die Funktion „Passwort ändern“ aus den Benutzerrechten entfernen (oder explizit verweigern), die „SELF“ zugewiesen sind.

Sie müssen die ACL im Benutzerobjekt selbst manuell bearbeiten. Sie können darauf zugreifen, indem Sie erweiterte Funktionen in der Konsole „Active Directory-Benutzer und -Computer“ aktivieren (Ansicht -> Erweiterte Funktionen), dann die Eigenschaften des Benutzers öffnen und „Sicherheit“ auswählen.

verwandte Informationen