Algunos de nuestros usuarios de Active Directory fueron agregados por error a Operadores de impresión, lo que convirtió sus cuentas acuentas protegidas. El resultado de esto es que los usuarios a quienes se les delegó el control de una unidad organizativa en particular no pueden editar los atributos de los usuarios recién protegidos.
Eliminé a los usuarios de los Operadores de impresión e intenté desarmar el adminCountatributo y dejé suficiente tiempo para que se ejecutara SDProp, pero los atributos aún son de solo lectura para los usuarios con control delegado.
Me parece que las cuentas de usuario todavía se consideran cuentas protegidas. ¿Cómo puedo restablecer la cuenta a una cuenta normal? ¿Se trata sólo de editar los permisos de cada usuario?
Respuesta1
Debe borrar el atributo adminCount (lo cual ha hecho) Y debe volver a habilitar la herencia de permisos en el objeto desde la configuración de seguridad avanzada del objeto.
Respuesta2
No se pueden delegar permisos a una unidad organizativa para modificar cuentas que están protegidas.
Una vez por hora, se ejecuta el proceso SDProp y las cuentas protegidas tienen los permisos heredados de la unidad organizativa.remotoy la cuenta tiene las ACL que se han definido para cuentas protegidas en el objeto SDHolder aplicadas directamente a la cuenta.
La cuenta protegida debe restablecerse desde otra cuenta con muchos privilegios (sujeta al mismo proceso SDProp), para establecer el admincount en cero y restablecer la herencia de permisos. (SDProp establece permisos pero no los restablece).