Autorisations minimales sont nécessaires pour un administrateur délégué pour forcer la modification du mot de passe à la procédure d'ouverture de session suivante

Traductions disponibles Traductions disponibles
Numéro d'article: 296999 - Voir les produits auxquels s'applique cet article
Agrandir tout | Réduire tout

Symptômes

Par défaut, lorsque vous, en tant qu'administrateur, déléguer la possibilité de réinitialiser les mots de passe à un utilisateur ou un groupe à l'aide l'Assistant Délégation de contrôle, cet utilisateur ou groupe n'a pas l'autorisation pour forcer un utilisateur pour lequel le mot de passe a bien réinitialisé, modifier leur mot de passe la prochaine fois que l'utilisateur ouvre une session sur. Si l'utilisateur pour lequel vous attribuer l'autorisation de réinitialiser les mots de passe clique avec le bouton droit sur un compte d'utilisateur, clique sur Réinitialiser le mot de passe et clique sur Activer la case à cocher utilisateur doit changer de mot de passe à la prochaine ouverture de session , le dernier mot de passe de l'utilisateur est réinitialisé, toutefois, cet utilisateur n'est pas forcé à modifier leur mot de passe l'heure suivante qui cet utilisateur se connecte.

Cause

Ce problème se produit car l'utilisateur n'a pas l'autorisation minimum requise est nécessaire de définir l'option utilisateur doit changer de mot de passe à la prochaine ouverture de session qui est l'autorisation d'écrire les restrictions de compte sur les objets utilisateur. Lorsque vous déléguez la possibilité de réinitialiser les mots de passe, l'autorisation uniquement qui est accordée sur le conteneur délégué est l'autorisation de réinitialiser le mot de passe sur les objets utilisateur.

Résolution

Vous pouvez utiliser l'Assistant Délégation de contrôle pour déléguer le réinitialiser le mot de passe autorisé à l'utilisateur délégué. Tandis que, pour modifier l'indicateur « utilisateur doit changer mot de passe sur la prochaine ouverture de session », l'utilisateur délégué doit disposer autorisation en écriture aux conteneurs de l'utilisateur. Cependant, l'autorisation d'écriture fournit l'utilisateur délégué des autorisations supplémentaires. En d'autres termes, les restrictions de compte écriture autorisation est une autorisation super qui permet d'accéder à d'autres propriétés utilisateur. La propriété pwdLastSet peut être utilisée pour forcer l'utilisateur de modifier son mot de passe à la prochaine ouverture de session. Par défaut, les autorisations individuelles ne sont pas visibles. Le filtrage des autorisations est contrôlé par valeurs dans le fichier Dssec.dat. Pour résoudre ce problème, vous pouvez utiliser la procédure suivante pour déléguer des autorisations pour seulement la Reset Password et pwdLastSet propriété à un groupe user-defined nommé Help Desk .
  1. Désactiver le filtre pour les autorisations utilisateur :
    1. Cliquez sur Démarrer , cliquez sur Exécuter , tapez Dssec.dat dans la zone Ouvrir et puis cliquez sur OK .
    2. Cliquez sur Ouvrir avec , cliquez sur Bloc-notes et puis cliquez sur OK .
    3. Dans la section [utilisateur] , modifiez la valeur pwdLastSet en modifiant pwdLastSet = 7 à pwdLastSet = 0 .
    4. Quittez le Bloc-notes.
    note Ne modifiez pas la valeur pwdLastSet dans la section [travail] . Par défaut, la valeur pwdLastSet n'existe pas dans la section [utilisateur] du fichier Dssec.dat sur Windows Server 2003. Par conséquent, si vous exécutez Windows Server 2003, vous devez ajouter manuellement.
  2. Déléguer les autorisations au groupe Help Desk :
    1. Cliquez sur Démarrer , cliquez sur Exécuter , tapez Dsa.msc dans la zone Ouvrir et puis cliquez sur OK .
    2. Cliquez avec le bouton droit sur l'unité d'organisation à laquelle vous souhaitez déléguer les autorisations, puis cliquez sur déléguer le contrôle .
    3. Cliquez sur suivant , puis cliquez sur Ajouter .
    4. Cliquez sur Assistance , cliquez sur Ajouter , puis cliquez sur OK .
    5. Cliquez sur suivant , consultez Créer une tâche personnalisée à déléguer et puis cliquez sur suivant .
    6. Cliquez sur uniquement les objets suivants dans le dossier , sélectionnez les objets utilisateur case à cocher, puis cliquez sur suivant .
    7. Cliquez pour sélectionner des cases à cocher spécifiques aux propriétés et le général .
    8. Activez les cases à cocher Réinitialiser le mot de passe , pwdLastSet en lecture et écriture pwdLastSet dans l'autorisation zone.
    9. Cliquez sur suivant , puis cliquez sur Terminer .
  3. Activer le filtre pour les autorisations utilisateur :
    1. Cliquez sur Démarrer , cliquez sur Exécuter , tapez dssec.dat dans la zone Ouvrir et puis cliquez sur OK .
    2. Cliquez sur Ouvrir avec , cliquez sur Bloc-notes et puis cliquez sur OK .
    3. Dans la section [utilisateur] , modifiez la valeur pwdLastSet en modifiant pwdLastSet = 0 à pwdLastSet = 7 .
    4. Quittez le Bloc-notes.
En outre, si vous souhaitez vérifier les modifications de sécurité, vous pouvez suivre ces étapes :
  1. Cliquez sur Démarrer , cliquez sur Exécuter , tapez Dsa.msc et puis cliquez sur OK .
  2. Dans le menu Affichage , sélectionnez fonctionnalités avancées .
  3. Cliquez avec le bouton droit sur l'unité d'organisation que vous délégué des autorisations pour, puis cliquez sur Propriétés .
  4. Cliquez sur l'onglet sécurité , cliquez sur le groupe support technique et puis cliquez sur Avancé .
  5. Cliquez sur une propriété en lecture/écriture sur les entrées d'autorisation et cliquez sur Afficher/Edit.
  6. Vous pouvez voir qu'uniquement la lecture pwdLastSet et les propriétés écriture pwdLastSet sont définies sur Autoriser , mais le support technique n'a pas accès à des autres propriétés.

Plus d'informations

Pour plus d'informations sur la délégation d'autorisations, cliquez sur les numéros ci-dessous pour afficher les articles correspondants dans la Base de connaissances Microsoft :
235531 Problèmes de sécurité par défaut dans Active Directory Delegation
229873 Assistant contrôle délégué indisponibilité pour supprimer des groupes ou utilisateurs de
296490 Comment modifier les les propriétés d'un objet filtrées

Propriétés

Numéro d'article: 296999 - Dernière mise à jour: mardi 31 octobre 2006 - Version: 3.2
Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
  • Microsoft Windows 2000 Server SP1
  • Microsoft Windows 2000 Advanced Server SP1
Mots-clés : 
kbmt kbacl kbprb KB296999 KbMtfr
Traduction automatique
IMPORTANT : Cet article est issu du système de traduction automatique mis au point par Microsoft (http://support.microsoft.com/gp/mtdetails). Un certain nombre d?articles obtenus par traduction automatique sont en effet mis à votre disposition en complément des articles traduits en langue française par des traducteurs professionnels. Cela vous permet d?avoir accès, dans votre propre langue, à l?ensemble des articles de la base de connaissances rédigés originellement en langue anglaise. Les articles traduits automatiquement ne sont pas toujours parfaits et peuvent comporter des erreurs de vocabulaire, de syntaxe ou de grammaire (probablement semblables aux erreurs que ferait une personne étrangère s?exprimant dans votre langue !). Néanmoins, mis à part ces imperfections, ces articles devraient suffire à vous orienter et à vous aider à résoudre votre problème. Microsoft s?efforce aussi continuellement de faire évoluer son système de traduction automatique.
La version anglaise de cet article est la suivante: 296999
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.

Envoyer des commentaires

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com