Некоторые из наших пользователей Active Directory были ошибочно добавлены в Print Operators, что преобразовало их учетные записи взащищенные аккаунты. В результате пользователи, которым делегирован контроль над определенным OU, не могут редактировать атрибуты новых защищенных пользователей.
Я удалил пользователей из операторов печати, попытался отменить установку adminCountатрибута и дал достаточно времени для запуска SDProp, но атрибуты по-прежнему доступны только для чтения для пользователей с делегированным управлением.
Мне кажется, что учетные записи пользователей все еще считаются защищенными учетными записями. Как мне сбросить учетную запись до обычной учетной записи? Это просто случай редактирования разрешений для каждого пользователя?
решение1
Вам необходимо очистить атрибут adminCount (что вы и сделали), а также повторно включить наследование разрешений для объекта из расширенных настроек безопасности объекта.
решение2
Разрешения на изменение защищенных учетных записей не могут быть делегированы организационному подразделению.
Раз в час запускается процесс SDProp, и защищенные учетные записи получают разрешения, унаследованные от OU.удаленный, а учетная запись имеет списки контроля доступа, которые были определены для защищенных учетных записей в объекте SDHolder, примененном непосредственно к учетной записи.
Защищенную учетную запись необходимо сбросить из другой учетной записи с высокими привилегиями (с учетом того же процесса SDProp), чтобы сбросить admincount до нуля и сбросить наследование разрешений. (SDProp устанавливает разрешения, но не сбрасывает их).