Alguns de nossos usuários do Active Directory foram adicionados por engano aos operadores de impressão, o que converteu suas contas emcontas protegidas. O resultado disso é que os usuários aos quais foi delegado o controle de uma UO específica não conseguem editar os atributos dos usuários recém-protegidos.
Removi os usuários dos operadores de impressão e tentei cancelar a configuração do adminCountatributo e permiti tempo suficiente para a execução do SDProp, mas os atributos ainda são somente leitura para os usuários com controle delegado.
Parece-me que as contas de usuário ainda são consideradas contas protegidas. Como posso redefinir a conta para uma conta normal? É apenas o caso de editar as permissões de cada usuário?
Responder1
Você precisa limpar o atributo adminCount (o que você fez) E reativar a herança de permissões no objeto a partir das configurações avançadas de segurança do objeto.
Responder2
As permissões não podem ser delegadas a uma UO para modificar contas protegidas.
Uma vez por hora, o processo SDProp é executado e as contas protegidas têm as permissões herdadas da UOremovido, e a conta tem as ACLs que foram definidas para contas protegidas no objeto SDHolder aplicadas diretamente à conta.
A conta protegida precisa ser redefinida a partir de outra conta altamente privilegiada (sujeita ao mesmo processo SDProp), para que o admincount seja definido como zero e redefina a herança de permissões. (SDProp define permissões, mas não redefine).