Bagaimana untuk memberikan bantuan-staf hak khusus untuk membuka account pengguna terkunci

Artikel ini menjelaskan bagaimana bantuan-meja pengawas atau administrator domain dapat mendelegasikan kanan untuk membuka account pengguna terkunci.

Anda dapat menggunakan salah satu dari dua metode berikut untuk menyelesaikan jenis delegasi:

Metode 1

Alat DSACLS (Dsacls.exe) dapat memfasilitasi manajemen daftar kontrol akses (ACL) untuk layanan direktori. DSACLS memungkinkan Anda untuk permintaan dan memanipulasi atribut keamanan pada objek Active Directory. Alat ini adalah baris perintah setara halaman keamanan pada berbagai Active Directory peralatan snap-in.

Anda dapat menggunakan DSACLS untuk mendelegasikan izin khusus untuk membuka account terkunci dalam direktori aktif pengguna dan komputer snap-in. Sebagai contoh, untuk mendelegasikan izin untuk membuka account pengguna dalam unit organisasi tertentu ke grup keamanan, gunakan perintah berikut:

dsacls "ou = ouname, dc = domain, dc = com" / saya: s /G "domain\group nama": rpwp; lockoutTime; pengguna

Untuk penjelasan tentang apa yang setiap bagian dari perintah sebelumnya berarti:

"ou = ouname, dc = domain, dc = com": sintaks ini mewakili unit organisasi yang ingin Anda mendelegasikan otoritas.

"/ i:s": sintaks ini berarti bahwa izin diwariskan ke objek anak-anak hanya.

"/g"domain\group nama": rpwp; lockouttime; pengguna": sintaks ini berarti memberikan izin untuk Grup keamanan global "Nama grup", memberikan izin membaca dan menulis izin, memberikan izin untuk lockoutTime atribut, dan memberikan izin hanya untuk jenis pengguna objek.

Sebagai contoh lain, untuk mendelegasikan kewenangan untuk anggota grup keamanan Help Desk atas account pengguna di penjualan unit organisasi di domain "ad.company.com" (nama domain tingkat bawah = iklan), Anda dapat menggunakan perintah berikut:

dsacls "ou = penjualan, dc = iklan, dc = perusahaan, dc = com" / saya: s /G "ad\help meja": rpwp; lockoutTime; pengguna

Metode 2

Alat ADSIEdit (Adsiedit.msc) adalah editor tingkat rendah dari Active Directory. Alat ini terletak pada CD-ROM Windows 2000 di folder alat dukungan. Anda harus memilih "Khas Install", dan kemudian cari map alat dukungan.

Menggunakan alat ADSIEdit:

1. Mulai menjalankan alat ADSIEdit (Adsiedit.msc) dari map alat dukungan Windows 2000.
2. Klik kanan wadah atau objek yang ingin Anda berikan izin ini.
3. Klik Keamanan tab.
4. Klik Lanjutan.
5. Klik Tambahkan, dan kemudian menentukan pengguna atau grup yang ingin Anda memberikan hak ini.
6. Klik Properti tab.
7. Dalam Menerapkan ke: daftar drop-down, klik Objek pengguna.
8. Klik untuk memilih Memungkinkan kotak centang yang berada di samping Baca lockoutTime dan Menulis lockoutTime.
9. Klik untuk memilih Menerapkan izin ini untuk objek dan/atau wadah dalam wadah ini hanya kotak centang.

Catatan Setelah Anda mengubah izin untuk pengguna tertentu, izin diubah tidak terekspos pada Active Directory pengguna dan komputer pada Windows 2000. Namun, perizinan dihadapkan pada Windows Server 2003. Untuk mengekspos properti ini pada sistem Windows 2000, memodifikasi DSSEC.DAT file. Waktu membaca Lockout ditetapkan dan menulis Lockout waktu = 0 di bagian [USER]. Untuk informasi tambahan, klik nomor artikel berikut ini untuk melihat artikel di Pangkalan Pengetahuan Microsoft:Untuk informasi lebih lanjut tentang alat DSACLS, merujuk kepada bantuan online alat dukungan Windows 2000.Untuk informasi tambahan tentang cara untuk mengungkapkan pilihan dalam delegasi Wizard, klik nomor artikel di bawah ini untuk melihat artikel di dalam Basis Pengetahuan Microsoft:Untuk informasi lebih lanjut tentang delegasi perizinan di direktori aktif, klik nomor artikel di bawah ini untuk melihat artikel di dalam Basis Pengetahuan Microsoft: