Minimale Berechtigungen sind für einen delegierten Administrator Erzwingen der Kennwortänderung bei der nächsten Anmeldung erforderlich.

SPRACHE AUSWÄHLEN SPRACHE AUSWÄHLEN
Artikel-ID: 296999 - Produkte anzeigen, auf die sich dieser Artikel bezieht
Alles erweitern | Alles schließen

Problembeschreibung

Standardmäßig, wenn Sie als Administrator der Berechtigung zum Kennwörter auf einen Benutzer oder eine Gruppe zurücksetzen delegieren, indem die des Assistenten, den Benutzer oder Gruppe verfügt nicht über die Berechtigung, einen Benutzer zwingen für den das Kennwort zurückgesetzt wurde, um Ihr Kennwort das nächste Mal ändern, das der Benutzer anmeldet. Wenn der Benutzer, den Sie die Berechtigung zum Zurücksetzen von Kennwörtern erteilen, mit der rechten Maustaste ein Benutzerkonto, klickt auf Kennwort zurücksetzen und klickt dann auf das Kontrollkästchen Benutzer muss Kennwort bei der nächsten Anmeldung ändern des zweiten Benutzers Kennwort zurücksetzen, jedoch diesen Benutzer ist nicht gezwungen, Ihr Kennwort das nächste Mal ändern, das diese Benutzer sich anmeldet.

Ursache

Dies liegt daran, der Benutzer nicht die erforderliche minimale Berechtigung verfügt, die ist notwendig, die Berechtigung Schreiben Kontenbeschränkungen von Benutzerobjekten ist die Option Benutzer muss Kennwort bei der nächsten Anmeldung ändern festgelegt. Beim Delegieren der Möglichkeit zum Zurücksetzen von Kennwörtern ist die nur Berechtigung, die über delegierte Container erteilt die Berechtigung Kennwort zurücksetzen für Benutzerobjekte.

Lösung

Können Sie Assistenten zum Zuweisen der Objektverwaltung delegieren Sie das Kennwort zurücksetzen Berechtigung der delegierte Benutzer. Während, um das Flag "Benutzer muss Kennwort bei der nächsten Anmeldung ändern" ändern, der delegierte Benutzer Schreibberechtigungen für die Benutzercontainer haben muss. Allerdings bietet die Schreibberechtigung den delegierten Benutzer zusätzliche Berechtigungen. Mit anderen Worten, die Kontenbeschränkungen schreiben Berechtigung ist eine super Berechtigung, die den Zugriff auf einige andere Eigenschaften des Benutzers ermöglicht. Die Eigenschaft PwdLastSet kann den Benutzer Ihr Kennwort bei der nächsten Anmeldung ändern verwendet werden. Standardmäßig sind die einzelnen Berechtigungen nicht sichtbar. Die Filterung der Berechtigungen wird durch Werte in der Datei Dssec.dat gesteuert. Um dieses Problem zu beheben, können Sie die folgenden Schritte aus Berechtigungen für nur die Reset Password und PwdLastSet-Eigenschaft auf eine mit dem Namen Help Desk user-defined Gruppe delegieren.
  1. Deaktivieren Sie den Filter für Benutzer Berechtigungen:
    1. Klicken Sie auf Start , klicken Sie auf Ausführen , geben Sie Dssec.dat im Feld Öffnen und klicken Sie dann auf OK .
    2. Klicken Sie auf Öffnen , klicken Sie auf Editor und klicken Sie dann auf OK .
    3. Im Abschnitt [Benutzer] durch ändern den PwdLastSet -Wert bearbeiten PwdLastSet = 7 , PwdLastSet = 0 .
    4. Beenden Sie den Editor.
    Hinweis: Ändern Sie den Wert des PwdLastSet im Abschnitt [Computer] nicht. Standardmäßig ist der PwdLastSet -Wert in der Datei Dssec.dat auf Windows Server 2003 im Abschnitt [Benutzer] nicht vorhanden. Wenn Sie Windows Server 2003 ausführen, müssen Sie daher Sie manuell hinzufügen.
  2. Delegieren Sie die Berechtigungen der Help Desk-Gruppe:
    1. Klicken Sie auf Start , klicken Sie auf Ausführen , geben Sie dsa.msc im Feld Öffnen und klicken Sie dann auf OK .
    2. Klicken Sie mit der rechten Maustaste auf die Organisationseinheit, die Sie Berechtigungen delegieren möchten, und klicken Sie dann auf Objektverwaltung zuweisen .
    3. Klicken Sie auf Weiter , und klicken Sie dann auf Hinzufügen .
    4. Klicken Sie auf Hilfe , klicken Sie auf Hinzufügen und dann auf OK .
    5. Klicken Sie auf Weiter , überprüfen Sie benutzerdefinierte Aufgaben zum Delegieren erstellen und klicken Sie dann auf Weiter .
    6. Klicken Sie auf folgenden Objekten im Ordner , die Benutzerobjekte auswählen Kontrollkästchen, und klicken Sie dann auf Weiter .
    7. Klicken Sie auf der- Allgemein und die Kontrollkästchen Eigenschaftenspezifisch .
    8. Aktivieren Sie das Kontrollkästchen Kennwort zurücksetzen , Lesen PwdLastSet und PwdLastSet schreiben in die Berechtigung im Feld.
    9. Klicken Sie auf Weiter , und klicken Sie dann auf Fertig stellen .
  3. Aktivieren Sie den Filter für Benutzer Berechtigungen:
    1. Klicken Sie auf Start , klicken Sie auf Ausführen , geben Sie dssec.dat im Feld Öffnen und klicken Sie dann auf OK .
    2. Klicken Sie auf Öffnen , klicken Sie auf Editor und klicken Sie dann auf OK .
    3. Im Abschnitt [Benutzer] durch ändern den PwdLastSet -Wert bearbeiten PwdLastSet = 0 , PwdLastSet = 7 .
    4. Beenden Sie den Editor.
Außerdem, wenn Sie die Sicherheitsänderungen überprüfen möchten, können Sie diese Schritte ausführen:
  1. Klicken Sie auf Start , klicken Sie auf Ausführen , geben Sie dsa.msc ein und klicken Sie dann auf OK .
  2. Wählen Sie im Anzeigen die Option Erweiterte Funktionen .
  3. Klicken Sie mit der rechten Maustaste auf die Organisationseinheit, der delegiert von Berechtigungen, und klicken Sie dann auf Eigenschaften .
  4. Klicken Sie auf der Registerkarte Sicherheit , klicken Sie auf die Gruppe Helpdesk , und klicken Sie dann auf Erweitert .
  5. Klicken Sie auf Lesen/Schreiben-Eigenschaft auf die Berechtigungseinträge , und dann auf Anzeigen/Bearbeiten
  6. Sie können sehen, dass nur die PwdLastSet lesen und die Eigenschaften Schreiben PwdLastSet sind auf zulassen festgelegt, aber das Helpdesk keinen Zugriff auf andere Eigenschaften.

Weitere Informationen

Informationen dazu, Delegieren von Berechtigungen finden Sie folgenden Artikel der Microsoft Knowledge Base:
235531Standard-Sicherheitsaspekte in Active Directory-Delegierung
229873Delegaten Assistenten Verfügung stehen nicht zum Entfernen von Gruppen oder Benutzer zur
296490Zum Ändern von gefilterten Eigenschaften eines Objekts

Eigenschaften

Artikel-ID: 296999 - Geändert am: Dienstag, 31. Oktober 2006 - Version: 3.2
Die Informationen in diesem Artikel beziehen sich auf:
  • Microsoft Windows 2000 Server SP1
  • Microsoft Windows 2000 Advanced Server SP1
Keywords: 
kbmt kbacl kbprb KB296999 KbMtde
Maschinell übersetzter Artikel
Wichtig: Dieser Artikel wurde maschinell und nicht von einem Menschen übersetzt. Die Microsoft Knowledge Base ist sehr umfangreich und ihre Inhalte werden ständig ergänzt beziehungsweise überarbeitet. Um Ihnen dennoch alle Inhalte auf Deutsch anbieten zu können, werden viele Artikel nicht von Menschen, sondern von Übersetzungsprogrammen übersetzt, die kontinuierlich optimiert werden. Doch noch sind maschinell übersetzte Texte in der Regel nicht perfekt, insbesondere hinsichtlich Grammatik und des Einsatzes von Fremdwörtern sowie Fachbegriffen. Microsoft übernimmt keine Gewähr für die sprachliche Qualität oder die technische Richtigkeit der Übersetzungen und ist nicht für Probleme haftbar, die direkt oder indirekt durch Übersetzungsfehler oder die Verwendung der übersetzten Inhalte durch Kunden entstehen könnten.
Den englischen Originalartikel können Sie über folgenden Link abrufen: 296999
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.

Ihr Feedback an uns

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com