我們允許其他國家的 IT 服務透過委派控制來管理其 AD/OU 的某些部分。在一個國家 OU 下,編輯帳戶選項的委派權限不再有效。這會影響他們設定「使用者下次登入時必須更改密碼」、「使用者無法更改密碼」和「密碼永不過期」等的能力。據我們所知,我們這邊沒有任何改變。我查看了群組原則,但沒有看到該特定 OU 上設定的任何內容,只有最小和最大密碼期限(最小 1 最大 60,預設網域原則的一部分)。這是我第一次涉足委託控制的可怕世界,因此,如果我列出了任何不相關的內容,我深表歉意。
誰能幫助我理解為什麼他們無法再執行上述任務?我建立了自己的群組,並在同一 OU 上設定了委託存取權限,結果相同。以下是我所做的一些測試:
測試1
他們擁有以下權限:
Reset password
Read accountExpires
Write accountExpires
Read lockoutTime
Write lockoutTime
Read pwdLastSet
Write pwdLastSet
Read userAccountControl
Write userAccountControl
對於以下物件類型: USER
測試2
Create, delete, and manage user accounts
Reset user passwords and force password change at next logon
Read all user information
Modify the membership of a group
對於以下物件類型: USER
測試3
Change password
Reset password
Read and write account restrictions
Read accountExpires
Write accountExpires
Read expirationTime
Write expirationTime
Read lockoutTime
Write lockoutTime
Read Member Of
Write Member Of
Read pwdLastSet
Write pwdLastSet
Read userAccountControl
Write userAccountControl
我還為特定用戶的特定 OU 設定了審核,試圖捕獲未能將密碼設定為永不過期的日誌,但到目前為止我還沒有找到它的痕跡。
根據我自己的研究,看起來我已經涵蓋了所有基礎。我已經看到它提到要檢查複製,但我不是 100% 確定如何做到這一點。有人可以幫忙嗎?
謝謝,札克