我對更改密碼的 Active Directory 權限有疑問。是否可以撤銷特定 OU 中的使用者更改密碼的權限?
我怎樣才能完成這個任務?我知道可以為特定的使用者群組執行此操作,但是對於特定 OU 中的使用者是否可以?
更新
感謝您的所有回答。他們真的很有幫助。不幸的是,由於我的聲譽較低,我無法對這些回應進行投票;)
95% 的使用者都在我所寫的 OU 中。我正在考慮從“每個人”群組中刪除更改密碼權限,並為能夠更改密碼的使用者建立群組。問題是來自此 OU 的使用者位於另一個應用程式中,他們應該使用此應用程式(而不是在 AD 中)來變更密碼。不在該 OU 中的使用者僅在 AD 中,因此他們可以在 AD 中變更密碼。
您認為這是一個好的解決方案還是會有問題?
感謝幫助。
答案1
John Rennie 和 Sam Cogan 的答案(正如 John 恰當地指出的那樣)是“黑客”,因為他們試圖禁用用戶界面來更改密碼,但實際上並沒有剝奪用戶更改密碼的能力。
我認為您正在尋求對使用者帳戶所在 OU 上預設設定的 Active Directory 權限進行變更。我要警告你不要這樣做。由於 Microsoft 已經透過使用者帳戶物件的屬性提供了此功能,因此使用已提供的屬性確實比更改 AD 權限更好。您很可能會找到有效的權限,而且作業系統也很可能不會顯示有用的消息。
您確實應該只使用 Active Directory 使用者和電腦並集體修改使用者帳戶的屬性的所有受影響的使用者。 Dart 的答案在功能上與選擇所有使用者帳戶並以圖形方式設定其「使用者無法變更密碼」相同。如果您更喜歡命令行,請這樣做。
Windows 2003 中有使用 Active Directory 權限的「擴充權限」功能可以執行此操作。以下是與更改密碼相關的「擴充權限」的一些背景,第一個與 Active Directory「應用程式模式」(或 Microsoft 本週所稱的任何名稱)相關:
我嘗試透過在我的測試W2K3 Active Directory(Windows 2003 網域功能等級)中的OU 上放置「SELF - 拒絕- 使用者物件- 擴充權限:變更密碼」權限來驗證Massimo 的答案,並發現使用者物件等於或低於該權限OU 仍然能夠使用 GUI 密碼變更功能來變更其密碼。查看每個使用者對象,我可以看到繼承的「拒絕」權限,但 Active Directory 似乎忽略了它。
只需刪除使用者物件上的“SELF - 允許 - 更改密碼”權限即可獲得與上述測試相同的功能。用戶仍然可以更改密碼。
我想說,在此基礎上,馬西莫的回答也達不到你想要的效果。
我發現本文來自微軟並對其進行了測試。當我將腳本定位到單一使用者物件時,它會按預期運行使用者無法更改密碼。不過,這對您來說沒有多大幫助,因為您想在每個 OU 的基礎上進行設定。
然而,當我將 Microsoft 的腳本定位到 OU 時,更長的行為符合預期。 (此外,如果我修改添加到 OU 的 ACE 以應用於“此物件和子物件”而不是“僅此物件”,如腳本所授予的行為仍然並不如預期。
在這件事上我真的是把頭撞到牆上了。這看起來像是 Active Directory 行為的一個怪癖,但沒有詳細記錄。我已經經歷過“活動目錄域服務”和活動目錄架構文檔,我沒有找到描述這種行為的文檔。
答案2
看http://support.microsoft.com/kb/324744
但請注意,這有點駭客行為。它不會阻止使用者更改密碼,只是從 ctrl-alt-del 對話方塊中刪除了這樣做的選項。使用者仍然可以使用命令列密碼更改器。
JR
答案3
是的,您可以透過群組原則來做到這一點。開啟要限制的 OU 的群組原則編輯器(右鍵點選 OU、屬性、群組原則標籤)。建立一項新政策,或編輯現有政策並前往:
User Configuration -> Administrative Templates -> System
在這裡,選擇 Ctrl+Alt+Del 選項,在右側窗格中啟用「刪除更改密碼」選項。
關閉群組原則編輯器。為了確保其立即應用,請打開命令提示字元並運行
gpupdate /target:user /force
答案4
您可以透過從指派給「SELF」的使用者權限中刪除(或明確拒絕)「變更密碼」來刪除特定使用者執行此操作的權限。
您必須手動編輯使用者物件本身的 ACL;您可以透過在 Active Directory 使用者和電腦控制台中啟用進階功能(檢視 -> 進階功能)來存取它,然後開啟使用者的屬性並選擇「安全性」。