No se pueden editar las opciones de la cuenta con acceso delegado de AD (acceso denegado)

tag-icon tag-icon active-directory windows-server-2008-r2 replication
No se pueden editar las opciones de la cuenta con acceso delegado de AD (acceso denegado)

Permitimos que los servicios de TI en otros países administren ciertas partes de su AD/OU a través del Control Delegado. En una unidad organizativa de país, los derechos de delegado para editar las opciones de cuenta ya no funcionan. Esto afecta su capacidad para configurar "El usuario debe cambiar la contraseña en el siguiente inicio de sesión", "el usuario no puede cambiar la contraseña" y "la contraseña nunca caduca", etc. Falla por un error de permisos y crea el objeto de cuenta de usuario como deshabilitado. Por lo que sabemos, nada ha cambiado por nuestra parte. Miré en la Política de grupo y no vi nada configurado en esa unidad organizativa específica, solo la antigüedad mínima y máxima de la contraseña (mínimo 1 máximo 60, parte de la política de dominio predeterminada). Esta es mi primera incursión en el horrible mundo del control delegado, así que pido disculpas si he enumerado algo que no sea relevante.

¿Alguien puede ayudarme a comprender por qué ya no podrían realizar las tareas mencionadas? Creé mi propio grupo y configuré el acceso de delegado en la misma unidad organizativa, con el mismo resultado. Estas son algunas de las pruebas que hice:

Prueba 1

Tienen los siguientes permisos:

Reset password
Read accountExpires
Write accountExpires
Read lockoutTime
Write lockoutTime
Read pwdLastSet
Write pwdLastSet
Read userAccountControl
Write userAccountControl

para los siguientes tipos de objetos: USUARIO

Prueba 2

Create, delete, and manage user accounts
Reset user passwords and force password change at next logon
Read all user information
Modify the membership of a group

para los siguientes tipos de objetos: USUARIO

Prueba 3

Change password
Reset password
Read and write account restrictions
Read accountExpires
Write accountExpires
Read expirationTime
Write expirationTime
Read lockoutTime
Write lockoutTime
Read Member Of
Write Member Of
Read pwdLastSet
Write pwdLastSet
Read userAccountControl
Write userAccountControl

También configuré la auditoría en la unidad organizativa específica para un usuario específico en un intento de capturar un registro de la falla al configurar la contraseña para que nunca caduque, pero hasta ahora no he podido encontrar ningún rastro de ello.

Según mi propia investigación, parecía que tenía todas las bases cubiertas. He visto que se menciona verificar la replicación, pero no estoy 100% seguro de cómo hacerlo. ¿Puede alguien ayudar, por favor?

Gracias, zak

información relacionada