Izin minimum yang diperlukan untuk administrator didelegasikan untuk memaksa perubahan sandi pada logon berikutnya prosedur

Terjemahan Artikel Terjemahan Artikel
ID Artikel: 296999
Perbesar semua | Perkecil semua

GEJALA

Secara default, ketika Anda, sebagai administrator, mendelegasikan kemampuan untuk membuat ulang sandi untuk pengguna atau grup dengan menggunakan delegasi dari Kontrol Wizard, bahwa pengguna atau grup tidak memiliki izin untuk memaksa pengguna, untuk siapa password telah di-reset, mengubah sandi berikutnya waktu yang pengguna log on. Jika pengguna kepada siapa Anda memberikan izin untuk reset password klik-kanan account pengguna, klik Membuat ulang sandi, dan kemudian klik untuk memilih Pengguna harus mengubah sandi pada logon berikutnya kotak centang, pengguna kedua password reset, namun, pengguna ini tidak dipaksa untuk mengubah password mereka lain kali bahwa pengguna ini log on.

PENYEBAB

Perilaku ini terjadi karena pengguna tidak memiliki diperlukan minimal izin yang diperlukan untuk mengatur Pengguna harus mengubah sandi pada logon berikutnya pilihan, yang menulis Account Pembatasan izin pada objek pengguna. Ketika Anda mendelegasikan kemampuan untuk me-reset password, hanya izin yang diberikan atas wadah didelegasikan adalah izin buat ulang sandi pada objek pengguna.

PEMECAHAN MASALAH

Anda dapat menggunakan delegasi kontrol Wizard untuk mendelegasikan Membuat ulang sandiizin untuk pengguna didelegasikan. Sedangkan, untuk mengubah "pengguna harus mengubah sandi pada logon berikutnya"bendera, kuasa pengguna harus memiliki menulis izin untuk pengguna wadah. Namun, memberikan izin menulis kuasa pengguna dengan izin tambahan. Dengan kata lain, Menulis Account Pembatasanizin adalah izin super yang menyediakan akses ke beberapa pengguna properti. Properti pwdLastSet dapat digunakan untuk memaksa pengguna untuk mengubah sandi pada logon berikutnya. Secara default, hak akses individu yang tidak terlihat. Penyaringan izin yang dikendalikan oleh nilai-nilai di Dssec.dat file. Untuk mengatasi masalah ini, Anda dapat menggunakan langkah-langkah berikut untuk mendelegasikan izin untuk hanya Membuat ulang sandi dan properti pwdLastSet untuk user-defined grup bernama Bantuan Desk.
  1. Nonaktifkan filter untuk izin pengguna:
    1. Klik Mulai, klik Menjalankan, jenis Dssec.dat dalam Terbuka kotak, dan kemudian klik Oke.
    2. Klik Buka dengan, klik Notepad, lalu klik Oke.
    3. Dalam [User] bagian, mengedit pwdLastSetnilai dengan mengubah pwdLastSet = 7 untuk pwdLastSet = 0.
    4. Keluar Notepad.
    Catatan Tidak mengubah nilai pwdLastSet dalam [Komputer] bagian. Secara default, pwdLastSet nilai tidak ada di [User] bagian dari file Dssec.dat pada Windows Server 2003. Oleh karena itu, jika Anda menjalankan Windows Server 2003, Anda perlu menambahkan secara manual.
  2. Mendelegasikan izin ke grup Help Desk:
    1. Klik Mulai, klik Menjalankan, jenis dsa.MSC dalam Terbuka kotak, dan kemudian klik Oke.
    2. Klik kanan unit organisasi yang ingin mendelegasikan izin, dan kemudian klik Mendelegasikan kontrol.
    3. Klik Berikutnya, lalu klik Tambahkan.
    4. Klik Bantuan Desk, klik Tambahkan, lalu klik Oke.
    5. Klik Berikutnya, periksa Membuat tugas kustom untuk mendelegasikan, lalu klik Berikutnya.
    6. Klik Hanya objek berikut dalam folder, klik untuk memilih Objek penggunaPeriksa kotak, dan kemudian klik Berikutnya.
    7. Klik untuk memilih General dan The Properti khusus kotak centang.
    8. Klik untuk memilih Reset Sandi, Baca pwdLastSet, dan Menulis pwdLastSet kotak centang di Izinkotak.
    9. Klik Berikutnya, lalu klik Menyelesaikan.
  3. Mengaktifkan filter untuk izin pengguna:
    1. Klik Mulai, klik Menjalankan, jenis dssec.dat dalam Terbuka kotak, dan kemudian klik Oke.
    2. Klik Buka dengan, klik Notepad, lalu klik Oke.
    3. Dalam [User] bagian, mengedit pwdLastSet nilai dengan mengubah pwdLastSet = 0 untuk pwdLastSet = 7.
    4. Keluar Notepad.
Selain itu, jika Anda ingin untuk memverifikasi perubahan keamanan, Anda dapat mengikuti langkah-langkah berikut:
  1. KlikMulai, klik Menjalankan, jenisdsa.MSC, lalu klik Oke.
  2. Pada Lihat menu, pilih Lanjutan Fitur.
  3. Klik kanan unit organisasi yang Anda didelegasikan izin untuk dan kemudian klik Properti.
  4. Klik pada Keamanan tab, klik Bantuan Desk kelompok, dan kemudian klik Lanjutan.
  5. Klik Baca/tulis properti padaEntri izin, lalu klikLihat/Edit.
  6. Anda dapat melihat bahwa hanya Baca pwdLastSetdan Menulis pwdLastSet properti diatur keMemungkinkan, tapi Bantuan Desk tidak memiliki akses ke properti lainnya.

INFORMASI LEBIH LANJUT

Untuk informasi tambahan tentang mendelegasikan izin, klik nomor artikel di bawah ini untuk melihat artikel di Basis Pengetahuan Microsoft:
235531 Standar keamanan di delegasi direktori aktif
229873 Mendelegasikan kontrol Wizard tidak dapat digunakan untuk menghapus grup atau pengguna
296490 Bagaimana untuk mengubah properti objek disaring

Properti

ID Artikel: 296999 - Kajian Terakhir: 24 September 2011 - Revisi: 2.0
Kata kunci: 
kbacl kbprb kbmt KB296999 KbMtid
Penerjemahan Mesin
PENTING: Artikel ini diterjemahkan menggunakan perangkat lunak mesin penerjemah Microsoft dan bukan oleh seorang penerjemah. Microsoft menawarkan artikel yang diterjemahkan oleh seorang penerjemah maupun artikel yang diterjemahkan menggunakan mesin sehingga Anda akan memiliki akses ke seluruh artikel baru yang diterbitkan di Pangkalan Pengetahuan (Knowledge Base) dalam bahasa yang Anda gunakan. Namun, artikel yang diterjemahkan menggunakan mesin tidak selalu sempurna. Artikel tersebut mungkin memiliki kesalahan kosa kata, sintaksis, atau tata bahasa, hampir sama seperti orang asing yang berbicara dalam bahasa Anda. Microsoft tidak bertanggung jawab terhadap akurasi, kesalahan atau kerusakan yang disebabkan karena kesalahan penerjemahan konten atau penggunaannya oleh para pelanggan. Microsoft juga sering memperbarui perangkat lunak mesin penerjemah.
Klik disini untuk melihat versi Inggris dari artikel ini:296999

Berikan Masukan

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com