Entonces, ahora cualquier persona en nuestra mesa de ayuda puede restablecer la contraseña de AD en cualquier cuenta, incluidos los administradores de dominio. ¿Cómo puedo hacer para que puedan restablecer las contraseñas de los usuarios estándar, pero solo los administradores de sistemas puedan restablecer las contraseñas de otros administradores de sistemas? (También busco hacer lo mismo al agregar grupos para ser honesto) ¡Gracias!
Respuesta1
Las cuentas de AD con permisos elevados (por ejemplo, administradores de dominio, administradores empresariales, administradores de esquema, etc.) serían miembros del grupo Usuarios protegidos (asegúrese de revisar las advertencias de Microsoft sobre lo que esto hará), que hace varias cosas, incluida la prevención de la delegación (https://learn.microsoft.com/en-us/windows-server/security/credentials-protection-and-management/protected-users-security-group).
La respuesta es que necesita diseñar una buena estructura AD para que los objetos de usuario para los cuales las personas de la mesa de ayuda puedan restablecer las contraseñas de usuario estén en unidades organizativas (OU) donde las personas de la mesa de ayuda tengan permisos delegados para "Restablecer contraseñas de usuario y forzar cambio de contraseña en el próximo inicio de sesión" en las unidades organizativas donde se encuentran los objetos de usuario para los cuales se les permite cambiar contraseñas.
Otro enfoque es crear un grupo de seguridad al que se le delegará el permiso "Restablecer contraseñas de usuario y forzar el cambio de contraseña en el próximo inicio de sesión". Agregue las cuentas de la mesa de ayuda al grupo de seguridad. Identifique las unidades organizativas donde se encuentran los usuarios a las que se debe permitir que las cuentas de la mesa de ayuda restablezcan sus contraseñas. En cada una de las unidades organizativas antes mencionadas, delega el derecho "Restablecer contraseñas de usuario y forzar el cambio de contraseña en el próximo inicio de sesión" al grupo de seguridad que creaste.