Anmelden

Select the product you need help with

Minimale Berechtigungen sind f�r einen delegierten Administrator Erzwingen der Kennwort�nderung bei der n�chsten Anmeldung erforderlich.

Artikel-ID: 296999 - Produkte anzeigen, auf die sich dieser Artikel bezieht

Hinweis: Dies ist ein maschinell �bersetzter Artikel.

Maschinell-�bersetzte und englische Version des Artikels nebenander anzeigen

Alles erweitern | Alles schlie�en

Problembeschreibung

Standardm��ig, wenn Sie als Administrator der Berechtigung zum Kennw�rter auf einen Benutzer oder eine Gruppe zur�cksetzen delegieren, indem die des Assistenten, den Benutzer oder Gruppe verf�gt nicht �ber die Berechtigung, einen Benutzer zwingen f�r den das Kennwort zur�ckgesetzt wurde, um Ihr Kennwort das n�chste Mal �ndern, das der Benutzer anmeldet. Wenn der Benutzer, den Sie die Berechtigung zum Zur�cksetzen von Kennw�rtern erteilen, mit der rechten Maustaste ein Benutzerkonto, klickt auf Kennwort zur�cksetzen und klickt dann auf das Kontrollk�stchen Benutzer muss Kennwort bei der n�chsten Anmeldung �ndern des zweiten Benutzers Kennwort zur�cksetzen, jedoch diesen Benutzer ist nicht gezwungen, Ihr Kennwort das n�chste Mal �ndern, das diese Benutzer sich anmeldet.

Zum Anfang | Ihr Feedback an uns

Ursache

Dies liegt daran, der Benutzer nicht die erforderliche minimale Berechtigung verf�gt, die ist notwendig, die Berechtigung Schreiben Kontenbeschr�nkungen von Benutzerobjekten ist die Option Benutzer muss Kennwort bei der n�chsten Anmeldung �ndern festgelegt. Beim Delegieren der M�glichkeit zum Zur�cksetzen von Kennw�rtern ist die nur Berechtigung, die �ber delegierte Container erteilt die Berechtigung Kennwort zur�cksetzen f�r Benutzerobjekte.

Zum Anfang | Ihr Feedback an uns

L�sung

K�nnen Sie Assistenten zum Zuweisen der Objektverwaltung delegieren Sie das Kennwort zur�cksetzen Berechtigung der delegierte Benutzer. W�hrend, um das Flag "Benutzer muss Kennwort bei der n�chsten Anmeldung �ndern" �ndern, der delegierte Benutzer Schreibberechtigungen f�r die Benutzercontainer haben muss. Allerdings bietet die Schreibberechtigung den delegierten Benutzer zus�tzliche Berechtigungen. Mit anderen Worten, die Kontenbeschr�nkungen schreiben Berechtigung ist eine super Berechtigung, die den Zugriff auf einige andere Eigenschaften des Benutzers erm�glicht. Die Eigenschaft PwdLastSet kann den Benutzer Ihr Kennwort bei der n�chsten Anmeldung �ndern verwendet werden. Standardm��ig sind die einzelnen Berechtigungen nicht sichtbar. Die Filterung der Berechtigungen wird durch Werte in der Datei Dssec.dat gesteuert. Um dieses Problem zu beheben, k�nnen Sie die folgenden Schritte aus Berechtigungen f�r nur die Reset Password und PwdLastSet-Eigenschaft auf eine mit dem Namen Help Desk user-defined Gruppe delegieren.

Deaktivieren Sie den Filter f�r Benutzer Berechtigungen:
1. Klicken Sie auf Start , klicken Sie auf Ausf�hren , geben Sie Dssec.dat im Feld �ffnen und klicken Sie dann auf OK .
2. Klicken Sie auf �ffnen , klicken Sie auf Editor und klicken Sie dann auf OK .
3. Im Abschnitt [Benutzer] durch �ndern den PwdLastSet -Wert bearbeiten PwdLastSet = 7 , PwdLastSet = 0 .
4. Beenden Sie den Editor.
Hinweis: �ndern Sie den Wert des PwdLastSet im Abschnitt [Computer] nicht. Standardm��ig ist der PwdLastSet -Wert in der Datei Dssec.dat auf Windows Server 2003 im Abschnitt [Benutzer] nicht vorhanden. Wenn Sie Windows Server 2003 ausf�hren, m�ssen Sie daher Sie manuell hinzuf�gen.
Delegieren Sie die Berechtigungen der Help Desk-Gruppe:
1. Klicken Sie auf Start , klicken Sie auf Ausf�hren , geben Sie dsa.msc im Feld �ffnen und klicken Sie dann auf OK .
2. Klicken Sie mit der rechten Maustaste auf die Organisationseinheit, die Sie Berechtigungen delegieren m�chten, und klicken Sie dann auf Objektverwaltung zuweisen .
3. Klicken Sie auf Weiter , und klicken Sie dann auf Hinzuf�gen .
4. Klicken Sie auf Hilfe , klicken Sie auf Hinzuf�gen und dann auf OK .
5. Klicken Sie auf Weiter , �berpr�fen Sie benutzerdefinierte Aufgaben zum Delegieren erstellen und klicken Sie dann auf Weiter .
6. Klicken Sie auf folgenden Objekten im Ordner , die Benutzerobjekte ausw�hlen Kontrollk�stchen, und klicken Sie dann auf Weiter .
7. Klicken Sie auf der- Allgemein und die Kontrollk�stchen Eigenschaftenspezifisch .
8. Aktivieren Sie das Kontrollk�stchen Kennwort zur�cksetzen , Lesen PwdLastSet und PwdLastSet schreiben in die Berechtigung im Feld.
9. Klicken Sie auf Weiter , und klicken Sie dann auf Fertig stellen .
Aktivieren Sie den Filter f�r Benutzer Berechtigungen:
1. Klicken Sie auf Start , klicken Sie auf Ausf�hren , geben Sie dssec.dat im Feld �ffnen und klicken Sie dann auf OK .
2. Klicken Sie auf �ffnen , klicken Sie auf Editor und klicken Sie dann auf OK .
3. Im Abschnitt [Benutzer] durch �ndern den PwdLastSet -Wert bearbeiten PwdLastSet = 0 , PwdLastSet = 7 .
4. Beenden Sie den Editor.

Au�erdem, wenn Sie die Sicherheits�nderungen �berpr�fen m�chten, k�nnen Sie diese Schritte ausf�hren:

Klicken Sie auf Start , klicken Sie auf Ausf�hren , geben Sie dsa.msc ein und klicken Sie dann auf OK .
W�hlen Sie im Anzeigen die Option Erweiterte Funktionen .
Klicken Sie mit der rechten Maustaste auf die Organisationseinheit, der delegiert von Berechtigungen, und klicken Sie dann auf Eigenschaften .
Klicken Sie auf der Registerkarte Sicherheit , klicken Sie auf die Gruppe Helpdesk , und klicken Sie dann auf Erweitert .
Klicken Sie auf Lesen/Schreiben-Eigenschaft auf die Berechtigungseintr�ge , und dann auf Anzeigen/Bearbeiten
Sie k�nnen sehen, dass nur die PwdLastSet lesen und die Eigenschaften Schreiben PwdLastSet sind auf zulassen festgelegt, aber das Helpdesk keinen Zugriff auf andere Eigenschaften.

Zum Anfang | Ihr Feedback an uns

Weitere Informationen

Informationen dazu, Delegieren von Berechtigungen finden Sie folgenden Artikel der Microsoft Knowledge Base:

235531

(http://support.microsoft.com/kb/235531/EN-US/ )

Standard-Sicherheitsaspekte in Active Directory-Delegierung

229873

(http://support.microsoft.com/kb/229873/EN-US/ )

Delegaten Assistenten Verf�gung stehen nicht zum Entfernen von Gruppen oder Benutzer zur

296490

(http://support.microsoft.com/kb/296490/ )

Zum �ndern von gefilterten Eigenschaften eines Objekts

Zum Anfang | Ihr Feedback an uns

Eigenschaften

Artikel-ID: 296999 - Ge�ndert am: Dienstag, 31. Oktober 2006 - Version: 3.2

Die Informationen in diesem Artikel beziehen sich auf:

Microsoft Windows 2000 Server SP1
Microsoft Windows 2000 Advanced Server SP1

kbmt kbacl kbprb KB296999 KbMtde

Maschinell �bersetzter Artikel

Wichtig: Dieser Artikel wurde maschinell und nicht von einem Menschen �bersetzt. Die Microsoft Knowledge Base ist sehr umfangreich und ihre Inhalte werden st�ndig erg�nzt beziehungsweise �berarbeitet. Um Ihnen dennoch alle Inhalte auf Deutsch anbieten zu k�nnen, werden viele Artikel nicht von Menschen, sondern von �bersetzungsprogrammen �bersetzt, die kontinuierlich optimiert werden. Doch noch sind maschinell �bersetzte Texte in der Regel nicht perfekt, insbesondere hinsichtlich Grammatik und des Einsatzes von Fremdw�rtern sowie Fachbegriffen. Microsoft �bernimmt keine Gew�hr f�r die sprachliche Qualit�t oder die technische Richtigkeit der �bersetzungen und ist nicht f�r Probleme haftbar, die direkt oder indirekt durch �bersetzungsfehler oder die Verwendung der �bersetzten Inhalte durch Kunden entstehen k�nnten.

Den englischen Originalartikel k�nnen Sie �ber folgenden Link abrufen: 296999

(http://support.microsoft.com/kb/296999/en-us/ )

Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verf�gung. Microsoft �bernimmt keinerlei Gew�hrleistung daf�r, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erw�nschten Ergebnisse erzielen. Die Entscheidung dar�ber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung f�r Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.

Zum Anfang | Ihr Feedback an uns