我們的一些 Active Directory 使用者被錯誤地添加到列印操作員中,這已將他們的帳戶轉換為受保護的帳戶。這樣做的結果是,被委派控制特定 OU 的使用者無法編輯新受保護使用者的屬性。
我已從「列印操作員」中刪除了用戶,並嘗試取消設定該adminCount屬性並為 SDProp 提供足夠的運行時間,但對於具有委派控制權的用戶來說,這些屬性仍然是唯讀的。
在我看來,使用者帳戶仍然被視為受保護帳戶。如何將帳戶重設為普通帳戶?是不是只要修改每個使用者的權限就可以了?
答案1
您需要清除 adminCount 屬性(您已完成),並且需要從物件的進階安全性設定中重新啟用物件的權限繼承。
答案2
無法將權限委派給 OU 來修改受保護的帳號。
SDProp 進程每小時運行一次,受保護的帳戶擁有從 OU 繼承的權限已刪除,並且該帳戶具有直接套用於該帳戶的 SDHolder 物件上為受保護帳戶定義的 ACL。
受保護的帳戶需要從另一個高特權帳戶重設(受相同的 SDProp 程序影響),以將 admincount 設為零並重設權限繼承。 (SDProp 設定權限但不重置)。