Portanto, agora qualquer pessoa em nosso suporte técnico pode redefinir a senha do AD para qualquer conta, incluindo administradores de domínio. Como posso fazer com que eles possam descansar as senhas dos usuários padrão, mas apenas os administradores de sistemas podem descansar as senhas de outros administradores de sistemas? (Também estou procurando fazer a mesma coisa adicionando grupos para ser sincero) Obrigado!
Responder1
Contas AD com permissões elevadas (por exemplo, Administradores de Domínio, Administradores Corporativos, Administradores de Esquema, etc.) seriam membros do grupo Usuários Protegidos (certifique-se de revisar os avisos da Microsoft sobre o que isso fará), que faz várias coisas, incluindo impedir a delegação (https://learn.microsoft.com/en-us/windows-server/security/credentials-protection-and-management/protected-users-security-group).
A resposta é que você precisa projetar uma boa estrutura de AD para que os objetos de usuário para os quais os indivíduos do suporte técnico devem ter permissão para redefinir senhas de usuário estejam em unidades organizacionais (OUs) onde os indivíduos do suporte técnico têm permissões delegadas para "Redefinir senhas de usuário e forçar alteração de senha no próximo logon" nas unidades organizacionais onde estão localizados os objetos de usuário para os quais eles têm permissão para alterar senhas.
Outra abordagem é criar um grupo de segurança ao qual será delegada a permissão "Redefinir senhas de usuário e forçar alteração de senha no próximo logon". Adicione as contas de suporte técnico ao grupo de segurança. Identifique as UOs onde os usuários estão localizados e as contas do suporte técnico devem ter permissão para redefinir suas senhas. Em cada uma das unidades organizacionais mencionadas acima, delegue o direito "Redefinir senhas de usuário e forçar alteração de senha no próximo logon" ao grupo de segurança que você criou.