Como conceder o direito específico para desbloquear contas de usuário bloqueada pessoal da assistência técnica

Este artigo descreve como supervisores suporte técnico ou administradores de domínio podem delegar o direito para desbloquear contas de usuário bloqueada.

Você pode usar um dos dois métodos a seguir para realizar esse tipo de delegação:

Método 1

A ferramenta DSACLS (Dsacls.exe) pode facilitar o gerenciamento de listas de controle de acesso (ACLs) para serviços de diretório. DSACLS permite consultar e manipular atributos de segurança em objetos do Active Directory. Essa ferramenta é o equivalente da linha de comando da página de segurança em várias ferramentas do Active Directory snap-in.

Você pode usar DSACLS para delegar a permissão específica para desbloquear uma conta bloqueada no Active Directory Users e Computers snap-in. Por exemplo, para delegar a permissão para desbloquear contas de usuário em uma determinada unidade organizacional a um grupo de segurança, use o comando a seguir:

dsacls "ou = ouname, dc = domain, dc = com" / I: s /G "DOMÍNIO\grupo nome": rpwp; lockoutTime; usuário

Para obter uma explicação das que cada parte do comando anterior significa:

"ou = ouname, dc = domain, dc = com": esta sintaxe representa a unidade organizacional à qual você deseja delegar autoridade.

"/ i:s": esta sintaxe significa que a permissão é herdada para somente objetos filho.

"/g"DOMÍNIO\grupo nome": rpwp; lockouttime; usuário": esta sintaxe significa conceder a permissão para o grupo de segurança global "Nome do grupo", conceder Ler permissões de gravação e conceder a permissão para o atributo lockoutTime e conceda a permissão somente para objetos do tipo de usuário.

Como outro exemplo, para delegar autoridade para membros do grupo de segurança técnico sobre contas de usuário em unidade organizacional Sales no domínio "ad.company.com" (nome de domínio de nível inferior = ad), você pode usar o seguinte comando:

dsacls "ou = vendas, dc = ad, dc = empresa, dc = com" / I: s /G "ad\help mesa": rpwp; lockoutTime; usuário

Método 2

A ferramenta ADSIEdit (ADSIEdit.msc) é um editor de nível baixo do Active Directory. Essa ferramenta está localizada no CD-ROM do Windows 2000 na pasta Support\Tools. Selecione "Instalação típica" e, em seguida, localize a pasta Support\Tools.

Para usar a ferramenta ADSIEdit:

1. Inicie a ferramenta ADSIEdit (ADSIEdit.msc) da pasta Ferramentas de suporte do Windows 2000.
2. Clique com o botão direito do mouse no recipiente ou objeto que você deseja conceder essa permissão para.
3. Clique na guia segurança .
4. Clique em Avançadas .
5. Clique em Adicionar e, em seguida, especifique o usuário ou grupo que você deseja conceder esse direito para.
6. Clique na guia Propriedades .
7. No Aplicar em: drop-down lista, clique em objetos de usuário .
8. Clique para selecionar a caixa de seleção Permitir que está ao lado de lockoutTime de leitura e gravação lockoutTime .
9. Clique para selecionar a caixa de seleção Aplicar estas permissões a objetos e/ou recipientes somente dentro deste recipiente .

Observação Depois de modificar permissões para um determinado usuário, as permissões modificadas não estão expostas no Active Directory Users and Computer in Windows 2000. No entanto, as permissões são expostas no Windows Server 2003. Para expor essas propriedades em um sistema Windows 2000, modifique o arquivo DSSEC.DAT. Definir tempo de bloqueio de leitura e tempo de bloqueio de gravação = 0 na seção [USER]. Para obter informações adicionais, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft: Para obter mais informações sobre a ferramenta DSACLS, consulte a Ajuda on-line do Windows 2000 Support Tools.Para obter informações adicionais sobre como revelar uma opção no Assistente para delegação, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft: Para obter mais informações sobre delegação de permissões no Active Directory, clique nos números abaixo para ler os artigos na Base de dados de Conhecimento da Microsoft: