因此,現在我們服務台中的任何人都可以重設任何帳戶的 AD 密碼,包括網域管理員。我怎麼能讓他們可以為標準使用者保留密碼,但只有系統管理員可以保留其他系統管理員的密碼? (也希望透過添加到群組來執行相同的操作)謝謝!
答案1
具有提升權限的AD 帳戶(例如網域管理員、企業管理員、架構管理員等)將是受保護使用者群組的成員(請務必查看Microsoft 關於該操作的警告),該群組可以執行多種操作,包括防止委派(https://learn.microsoft.com/en-us/windows-server/security/credentials-protection-and-management/protected-users-security-group)。
答案是,您需要設計一個良好的AD 結構,以便允許幫助台人員重置使用者密碼的使用者物件應該位於組織單位(OU) 中,幫助台人員在其中具有「重置使用者密碼並強制執行」的委派權限。
另一種方法是建立一個安全性群組,該安全性群組將被委派「重設使用者密碼並在下次登入時強制更改密碼」權限。將幫助台帳戶新增至安全性群組。確定使用者所在的 OU,應允許幫助台帳戶重設其密碼。在上述每個 OU 上,將「重設使用者密碼並在下次登入時強制變更密碼」權限委託給您建立的安全性群組。