..png)
우리는 다른 국가의 IT 서비스가 Delegate Control을 통해 AD/OU의 특정 부분을 관리할 수 있도록 허용합니다. 하나의 국가 OU에서는 계정 옵션을 편집할 수 있는 대리인 권한이 더 이상 작동하지 않습니다. 이는 "다음 로그온 시 사용자가 비밀번호를 변경해야 함", "사용자는 비밀번호를 변경할 수 없음" 및 "비밀번호가 만료되지 않음" 등을 설정하는 기능에 영향을 미칩니다. 권한 오류로 인해 실패하고 사용자 계정 개체가 비활성화된 상태로 생성됩니다. 우리가 알 수 있는 한, 우리 쪽에서는 아무것도 바뀌지 않았습니다. 그룹 정책을 살펴봤지만 해당 특정 OU에 설정된 내용은 아무것도 없었고 단지 최소 및 최대 암호 사용 기간(최소 1~60, 기본 도메인 정책의 일부)만 표시되었습니다. 이것은 위임된 통제라는 끔찍한 세계에 대한 나의 첫 번째 시도이므로, 관련 없는 내용을 나열했다면 사과드립니다.
언급된 작업을 더 이상 수행할 수 없는 이유를 이해하도록 도와줄 수 있는 사람이 있습니까? 나는 내 자신의 그룹을 만들고 동일한 OU에 대리인 액세스를 설정했는데 결과는 동일했습니다. 제가 수행한 테스트 중 일부는 다음과 같습니다.
테스트 1
그들은 다음과 같은 권한을 가집니다:
Reset password
Read accountExpires
Write accountExpires
Read lockoutTime
Write lockoutTime
Read pwdLastSet
Write pwdLastSet
Read userAccountControl
Write userAccountControl
다음 객체 유형의 경우: USER
테스트 2
Create, delete, and manage user accounts
Reset user passwords and force password change at next logon
Read all user information
Modify the membership of a group
다음 객체 유형의 경우: USER
테스트 3
Change password
Reset password
Read and write account restrictions
Read accountExpires
Write accountExpires
Read expirationTime
Write expirationTime
Read lockoutTime
Write lockoutTime
Read Member Of
Write Member Of
Read pwdLastSet
Write pwdLastSet
Read userAccountControl
Write userAccountControl
또한 비밀번호를 만료되지 않음으로 설정하지 못한 로그를 포착하기 위해 특정 사용자에 대한 특정 OU에 대한 감사를 설정했지만 지금까지 이에 대한 추적을 찾을 수 없었습니다.
내 자신의 연구에 따르면 모든 기반을 다 갖춘 것처럼 보였습니다. 복제를 확인하기 위해 언급된 것을 보았지만 이를 수행하는 방법을 100% 확신할 수는 없습니다. 누군가 도와주실 수 있나요?
고마워요, 잭