Einige unserer Active Directory-Benutzer wurden fälschlicherweise zu Print Operators hinzugefügt, wodurch ihre Konten ingeschützte KontenDies hat zur Folge, dass Benutzer, denen die Kontrolle über eine bestimmte Organisationseinheit delegiert wurde, die Attribute der neu geschützten Benutzer nicht bearbeiten können.
Ich habe die Benutzer aus den Druckoperatoren entfernt und versucht, das Attribut aufzuheben, adminCountund ausreichend Zeit für die Ausführung von SDProp eingeräumt, aber die Attribute sind für die Benutzer mit delegierter Kontrolle immer noch schreibgeschützt.
Mir scheint, dass die Benutzerkonten immer noch als geschützte Konten gelten. Wie kann ich das Konto auf ein normales Konto zurücksetzen? Muss ich nur die Berechtigungen für jeden Benutzer bearbeiten?
Antwort1
Sie müssen das Attribut „adminCount“ löschen (was Sie getan haben) UND Sie müssen die Berechtigungsvererbung für das Objekt in den erweiterten Sicherheitseinstellungen des Objekts erneut aktivieren.
Antwort2
Die Berechtigung zum Ändern geschützter Konten kann nicht an eine Organisationseinheit delegiert werden.
Einmal pro Stunde wird der SDProp-Prozess ausgeführt und geschützte Konten verfügen über die Berechtigungen, die von der OU geerbt werden.ENTFERNT, und das Konto verfügt über die ACLs, die für geschützte Konten im SDHolder-Objekt definiert wurden, die direkt auf das Konto angewendet werden.
Das geschützte Konto muss von einem anderen Konto mit hohen Berechtigungen (das demselben SDProp-Prozess unterliegt) zurückgesetzt werden, um den Administratorzähler auf Null zu setzen und die Berechtigungsvererbung zurückzusetzen. (SDProp legt Berechtigungen fest, setzt sie aber nicht zurück).