Невозможно изменить параметры учетной записи с доступом к делегированному AD (доступ запрещен)

tag-icon tag-icon active-directory windows-server-2008-r2 replication
Невозможно изменить параметры учетной записи с доступом к делегированному AD (доступ запрещен)

Мы разрешаем ИТ-службам в других странах управлять определенными частями их AD/OU через Delegate Control. В рамках одной OU страны делегированные права на редактирование параметров учетной записи больше не работают. Это влияет на их возможность устанавливать «Пользователь должен сменить пароль при следующем входе в систему», «Пользователь не может сменить пароль» и «Срок действия пароля никогда не истекает» и т. д. Он дает сбой из-за ошибки разрешений и создает объект учетной записи пользователя как отключенный. Насколько мы можем судить, с нашей стороны ничего не изменилось. Я заглянул в групповую политику и не увидел ничего установленного для этого конкретного OU, только минимальный и максимальный срок действия пароля (мин. 1 макс. 60, часть политики домена по умолчанию). Это мой первый вылазка в ужасный мир делегированного управления, поэтому прошу прощения, если я перечислил что-то не относящееся к делу.

Может ли кто-нибудь помочь мне понять, почему они больше не смогут выполнять упомянутые задачи? Я создал свою собственную группу и установил делегированный доступ на том же OU, с тем же результатом. Вот некоторые из тестов, которые я провел:

Тест 1

Они имеют следующие разрешения:

Reset password
Read accountExpires
Write accountExpires
Read lockoutTime
Write lockoutTime
Read pwdLastSet
Write pwdLastSet
Read userAccountControl
Write userAccountControl

для следующих типов объектов: USER

Тест 2

Create, delete, and manage user accounts
Reset user passwords and force password change at next logon
Read all user information
Modify the membership of a group

для следующих типов объектов: USER

Тест 3

Change password
Reset password
Read and write account restrictions
Read accountExpires
Write accountExpires
Read expirationTime
Write expirationTime
Read lockoutTime
Write lockoutTime
Read Member Of
Write Member Of
Read pwdLastSet
Write pwdLastSet
Read userAccountControl
Write userAccountControl

Я также установил аудит для определенного OU для определенного пользователя, чтобы попытаться отследить журнал сбоев при установке пароля с неограниченным сроком действия, но пока мне не удалось найти никаких следов.

Из моих собственных исследований, похоже, что я все охватил. Я видел, что упоминается проверка репликации, но я не уверен на 100%, как это сделать. Может кто-нибудь помочь, пожалуйста?

Спасибо, Зак.

Связанный контент