Как предоставить персоналу службы поддержки конкретных вправо, чтобы разблокировать заблокированные учетные записи

Переводы статьи Переводы статьи
Код статьи: 279723 - Vizualiza?i produsele pentru care se aplic? acest articol.
Развернуть все | Свернуть все

В этой статье

Аннотация

Статья описывает, как службы поддержки руководителей или администраторов домена можно делегировать право разблокировать заблокированные учетные записи пользователей.

Дополнительная информация

Для выполнения данного типа делегирования, можно использовать один из следующих способов:

Способ 1

Средства DSACLS (Dsacls.exe) позволяет упростить управление списки управления доступом (ACL) для служб каталогов. Команды DSACLS можно запрашивать и манипулировать атрибутов безопасности объектов Active Directory. Это средство является эквивалентом страницы безопасности на средства различных оснастки Active Directory.

С помощью команды DSACLS делегировать конкретные разрешения на Разблокирование заблокированной учетной записи в Active Directory-пользователи и компьютеры оснастки. Например чтобы делегировать разрешения на разблокирование учетных записей пользователей в некоторые подразделения в группу безопасности, выполните следующую команду:

DSACLS "ou = ouname, dc = domain, dc = com" / я: s имя /G «Имя_домена\Имя_группы»: rpwp; lockoutTime; пользователя

Описание каждой части предыдущей команды означает:

«ou = ouname, dc = domain, dc = com ": в этом синтаксисе представлен организационное подразделение, которому требуется делегировать полномочия.

"/ i:s": этот синтаксис означает, что разрешение наследуется только дочерние объекты.

"/g «домен\имя_группы»: rpwp; lockouttime; пользователя": этот синтаксис означает разрешение на Глобальная безопасность группе «Имя группы», предоставить чтения и записи разрешений, предоставьте разрешение lockoutTime атрибут и предоставить разрешения только на объекты пользовательского типа.

Например, для делегирования полномочий для членов группы безопасности службы технической поддержки учетных записей пользователей в подразделении Sales в домене «ad.company.com» (имя домена нижнего уровня = ad), можно использовать следующую команду:

DSACLS "ou = sales, dc = ad, dc = компании, dc = com" / я: s/g «ad\help стол»: rpwp; lockoutTime; пользователя

Способ 2

Средства ADSIEdit (Adsiedit.msc) — это редактор низкоуровневые службы каталогов Active Directory. Эта программа находится на компакт-диск Windows 2000 в папке «Служебные программы». Выберите «Обычная установка» и найдите папку служебных программ.

С помощью средства ADSIEdit.
  1. Запуск средства ADSIEdit (Adsiedit.msc) из папки средств поддержки Windows 2000.
  2. Щелкните правой кнопкой мыши контейнер или объект, который нужно предоставить это разрешение.
  3. Нажмите кнопку Безопасность Вкладка.
  4. Нажмите кнопку Дополнительно.
  5. Нажмите кнопку Добавить, а затем укажите пользователя или группу, которую требуется предоставить это право.
  6. Нажмите кнопку Свойства Вкладка.
  7. В Примените: раскрывающийся список, нажмите кнопку Пользовательские объекты.
  8. Выберите Разрешить флажок рядом с LockoutTime чтения и Запись lockoutTime.
  9. Выберите Применять эти разрешения к объектам и контейнерам только внутри этого контейнера флажок.
Примечание После изменения разрешений для данного пользователя измененные разрешения не предоставляются в Active Directory — пользователи и компьютера в Windows 2000. Однако в Windows Server 2003 предоставляются разрешения. Чтобы предоставить эти свойства в системе Windows 2000, измените DSSEC.DAT-файл. Продолжительность блокировки чтения и записи блокировки время = 0 в разделе [пользователь]. Для получения дополнительных сведений щелкните следующий номер статьи базы знаний Майкрософт:
296490Как изменить отфильтрованных свойств объекта
Для получения дополнительных сведений о средстве DSACLS обратитесь к интерактивной справке средства поддержки Windows 2000.Для получения дополнительных сведений о том, как отобразить параметр в мастере делегирования щелкните следующий номер статьи базы знаний Майкрософт:
294952Как делегировать право разблокирования учетной записи
Для получения дополнительных сведений о делегирования разрешений в Active Directory щелкните следующий номер статьи базы знаний Майкрософт:
817433Делегирование разрешений недоступно, а наследование автоматически отключается
306398 Объект AdminSDHolder влияет на делегирование управления бывших административных учетных записей
232199 Описание и обновления объекта Active Directory AdminSDHolder

Свойства

Код статьи: 279723 - Последний отзыв: 5 июня 2011 г. - Revision: 4.0
Информация в данной статье относится к следующим продуктам.
  • операционная система Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
Ключевые слова: 
kbenv kbhowto kbmt KB279723 KbMtru
Переведено с помощью машинного перевода
ВНИМАНИЕ! Перевод данной статьи был выполнен не человеком, а с помощью программы машинного перевода, разработанной корпорацией Майкрософт. Корпорация Майкрософт предлагает вам статьи, переведенные как людьми, так и средствами машинного перевода, чтобы у вас была возможность ознакомиться со статьями базы знаний KB на родном языке. Однако машинный перевод не всегда идеален. Он может содержать смысловые, синтаксические и грамматические ошибки, подобно тому как иностранец делает ошибки, пытаясь говорить на вашем языке. Корпорация Майкрософт не несет ответственности за неточности, ошибки и возможный ущерб, причиненный в результате неправильного перевода или его использования. Корпорация Майкрософт также часто обновляет средства машинного перевода.
Эта статья на английском языке:279723

Отправить отзыв

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com