Delega dei diritti di sblock dell'account in AD

Sto provando a debind i diritti per sbloccare gli account utente nel nostro dominio di Active Directory. Questo dovrebbe essere facile e lo ho fatto prima … ma each volta che l'utente cerca di sbloccare un account (utilizzando lo strumento LockoutStatus ) viene negato con l'errore "Non hai le autorizzazioni necessarie per sbloccare questo account ".

Ecco cosa ho fatto:

  • Solo un dominio non risolve tramite il server DNS di Windows in più posizioni, ma è ad altri
  • Bloccare il desktop remoto utilizzando GPO AD
  • 100% di utilizzo della CPU quando il nuovo dispositivo USB è collegato a - services.exe / windows server 2003
  • Rendere Windows 7 compatibile con il server di Windows 2003
  • gli utenti in grado di visualizzare il log di protezione nel visualizzatore di events
  • I database di Exchange Server 2003 stanno crescendo rapidamente
    • Ho creato un gruppo locale di dominio e ho aggiunto i membri che dovrebbero avere i diritti. Questo è stato creato più di una settimana fa, quindi gli utenti sono stati disconnessi e nuovamente.
    • In ADUC, ho utilizzato la procedura guidata dei diritti di delegazione nell'OU che contiene i nostri account utente per concedere le autorizzazioni alla lettura del lockoutTime e Writer lockoutTime al gruppo, per MSKB 279723
    • Ho controllato due volte che le autorizzazioni sono state applicate correttamente in ADSIEdit.
    • Ho costretto la replica tra tutti i controller di dominio per assicurare che le modifiche delle autorizzazioni siano state copiate.
    • L'utente che ha eseguito il test ha eseguito la disconnessione e di nuovo per assicurarsi di aver apportto modifiche al suo account.

    … che copre tutte le basi che posso pensare. Qualcosa altro che potrei mancare?

    3 Solutions collect form web for “Delega dei diritti di sblock dell'account in AD”

    Se si sta affrontando problemi con gli account amministrativi, potrebbe essere correlato alle autorizzazioni che vengono ripristinate each ora a causa di AdminSDHolder

    Dettagli

    Hai verificato che gli amministratori in questione non hanno esplicitamente negato l'accesso a tale attributo attraverso l'adesione ad un altro gruppo?

    Ho avuto un problema simile qualche mese fa, per risolvere il problema che ho creato un nuovo gruppo in AD, aggiungere gli utenti lì, ho creato una nuova politica di dominio e creai un gruppo limitato nella nuova politica di dominio, poi ho aggiunto tutti degli utenti che hanno bisogno dell'accesso allo strumento di block AD dal nuovo gruppo AD creato al gruppo Restricted nel nuovo criterio di gruppo e nel bingo che ha funzionato.

    Assicuratevi solo di verificare questo in un primo dominio di prova per assicurarvi di non rompere nulla in diretta.

    Suggerimenti per Linux e Windows Server, quali Ubuntu, Centos, Apache, Nginx, Debian e argomenti di rete.