Não é possível editar as opções da conta com acesso delegado ao AD (acesso negado)

tag-icon tag-icon active-directory windows-server-2008-r2 replication
Não é possível editar as opções da conta com acesso delegado ao AD (acesso negado)

Permitimos que os serviços de TI de outros países gerenciem determinadas partes de seu AD/OU por meio do Controle Delegado. Em uma unidade organizacional de país, os direitos delegados para editar as opções de conta não funcionam mais. Isso afeta a capacidade de definir "O usuário deve alterar a senha no próximo logon", "o usuário não pode alterar a senha" e "a senha nunca expira", etc. Ele falha em um erro de permissão e cria o objeto de conta do usuário como desabilitado. Pelo que sabemos, nada mudou do nosso lado. Procurei na Política de Grupo e não vi nada definido nessa UO específica, apenas a idade mínima e máxima da senha (mínimo 1 máximo 60, parte da política de domínio padrão). Esta é minha primeira incursão no horrível mundo do controle delegado, por isso peço desculpas se listei algo que não seja relevante.

Alguém pode me ajudar a entender por que eles não conseguiriam mais executar as tarefas mencionadas? Criei meu próprio grupo e configurei o acesso delegado na mesma UO, com o mesmo resultado. Aqui estão alguns dos testes que fiz:

Teste 1

Eles têm as seguintes permissões:

Reset password
Read accountExpires
Write accountExpires
Read lockoutTime
Write lockoutTime
Read pwdLastSet
Write pwdLastSet
Read userAccountControl
Write userAccountControl

para os seguintes tipos de objeto: USER

Teste 2

Create, delete, and manage user accounts
Reset user passwords and force password change at next logon
Read all user information
Modify the membership of a group

para os seguintes tipos de objeto: USER

Teste 3

Change password
Reset password
Read and write account restrictions
Read accountExpires
Write accountExpires
Read expirationTime
Write expirationTime
Read lockoutTime
Write lockoutTime
Read Member Of
Write Member Of
Read pwdLastSet
Write pwdLastSet
Read userAccountControl
Write userAccountControl

Também configurei a auditoria na UO específica para um usuário específico, na tentativa de capturar um log da falha ao definir a senha como nunca expira, mas até agora não consegui encontrar nenhum vestígio dela.

Pela minha própria pesquisa, parecia que eu tinha todas as bases cobertas. Já vi isso mencionado para verificar a replicação, mas não tenho 100% de certeza de como fazer isso. Alguém pode ajudar por favor?

Obrigado, Zack

informação relacionada