Итак, прямо сейчас любой в нашей службе поддержки может сбросить пароль AD для любой учетной записи, включая администраторов домена. Как сделать так, чтобы они могли сохранять пароли для обычных пользователей, но только системные администраторы могли сохранять пароли других системных администраторов? (Также хочу сделать то же самое с добавлением в группы, честно говоря) Спасибо!
решение1
Учетные записи AD с повышенными разрешениями (например, администраторы домена, администраторы предприятия, администраторы схемы и т. д.) будут членами группы «Защищенные пользователи» (обязательно ознакомьтесь с предупреждениями Microsoft о том, что это даст), которая выполняет несколько функций, включая предотвращение делегирования (https://learn.microsoft.com/en-us/windows-server/security/credentials-protection-and-management/protected-users-security-group).
Ответ заключается в том, что вам необходимо разработать хорошую структуру AD, чтобы объекты пользователей, для которых сотрудникам службы поддержки будет разрешено сбрасывать пароли пользователей, находились в организационных подразделениях (OU), где сотрудникам службы поддержки делегированы разрешения на «Сброс паролей пользователей и принудительную смену пароля при следующем входе в систему» в OU, где находятся объекты пользователей, для которых им разрешено менять пароли.
Другой подход заключается в создании группы безопасности, которой будет делегировано разрешение «Сброс паролей пользователей и принудительная смена пароля при следующем входе в систему». Добавьте учетные записи службы поддержки в группу безопасности. Определите OU, в которых находятся пользователи, учетным записям службы поддержки должно быть разрешено сбрасывать свои пароли. В каждой из вышеупомянутых OU делегируйте право «Сброс паролей пользователей и принудительная смена пароля при следующем входе в систему» созданной вами группе безопасности.