Im Moment kann also jeder in unserem Helpdesk das AD-Passwort für jedes Konto zurücksetzen, einschließlich Domänenadministratoren. Wie kann ich es so einrichten, dass sie Passwörter für Standardbenutzer zurücksetzen können, aber nur Systemadministratoren die Passwörter anderer Systemadministratoren zurücksetzen können? (Ich versuche, das Gleiche mit dem Hinzufügen zu Gruppen zu tun, um ehrlich zu sein.) Danke!
Antwort1
AD-Konten mit erhöhten Berechtigungen (z. B. Domänenadministratoren, Enterprise-Administratoren, Schemaadministratoren usw.) wären Mitglieder der Gruppe „Geschützte Benutzer“ (lesen Sie unbedingt die Warnungen von Microsoft zu den Auswirkungen), die verschiedene Dinge bewirkt, einschließlich der Verhinderung der Delegierung (https://learn.microsoft.com/en-us/windows-server/security/credentials-protection-and-management/protected-users-security-group).
Die Antwort lautet: Sie müssen eine gute AD-Struktur entwerfen, sodass Benutzerobjekte, für die Helpdesk-Mitarbeiter Benutzerkennwörter zurücksetzen dürfen, in Organisationseinheiten (OUs) liegen, in denen die Helpdesk-Mitarbeiter über delegierte Berechtigungen zum „Zurücksetzen von Benutzerkennwörtern und Erzwingen einer Kennwortänderung bei der nächsten Anmeldung“ für die OUs verfügen, in denen sich die Benutzerobjekte befinden, für die sie Kennwörter ändern dürfen.
Ein anderer Ansatz besteht darin, eine Sicherheitsgruppe zu erstellen, an die die Berechtigung „Benutzerkennwörter zurücksetzen und Kennwortänderung bei der nächsten Anmeldung erzwingen“ delegiert wird. Fügen Sie die Helpdesk-Konten zur Sicherheitsgruppe hinzu. Identifizieren Sie die Organisationseinheiten, in denen sich Benutzer befinden, deren Kennwörter die Helpdesk-Konten zurücksetzen dürfen sollen. Delegieren Sie in jeder der oben genannten Organisationseinheiten das Recht „Benutzerkennwörter zurücksetzen und Kennwortänderung bei der nächsten Anmeldung erzwingen“ an die von Ihnen erstellte Sicherheitsgruppe.