Permissões mínimas necessárias para um administrador delegado forçar a alteração de palavra-passe no próximo procedimento de início de sessão

Traduções de Artigos Traduções de Artigos
Artigo: 296999 - Ver produtos para os quais este artigo se aplica.
Expandir tudo | Reduzir tudo

Sintomas

Por predefinição, quando, como administrador, delegar a capacidade de repor palavras-passe a um utilizador ou grupo, utilizando o assistente delegação de controlo, esse utilizador ou grupo não tem permissão para forçar um utilizador, para o qual foi reposta a palavra-passe, para alterar a palavra-passe da próxima vez que o utilizador inicia sessão. Se o utilizador a quem conceder a permissão para repor palavras-passe clica com o botão direito do rato uma conta de utilizador, clicar em Repor palavra-passe e, em seguida, clica para seleccionar a caixa de verificação utilizador deverá alterar a palavra-passe no próximo início de sessão , palavra-passe do último utilizador seja reposta, no entanto, este utilizador não é forçado a alterar a palavra-passe da próxima vez que este utilizador iniciar sessão.

Causa

Este comportamento ocorre porque o utilizador não tem a permissão necessária mínima necessário definir a opção utilizador deverá alterar a palavra-passe no próximo início de sessão , o que é a permissão Escrever restrições de conta em objectos de utilizador. Quando delegar a capacidade de repor palavras-passe, a permissão só é concedida sobre o contentor delegado é a permissão repor palavra-passe em objectos de utilizador.

Resolução

Pode utilizar o Assistente de delegação de controlo para Repor palavra-passe de delegar permissões para o utilizador delegado. Enquanto que, para alterar o sinalizador "Utilizador tem de alterar palavra-passe no próximo início de sessão", o utilizador delegado tem de ter permissão de escrita para os contentores de utilizador. No entanto, a permissão de escrita fornece ao utilizador delegado com permissões adicionais. Por outras palavras, a Menos restrições de conta a permissão é uma permissão super que fornece acesso a outras propriedades de utilizador. A propriedade pwdLastSet pode ser utilizada para forçar o utilizador altere a palavra-passe no próximo início de sessão. Por predefinição, as permissões individuais não são visíveis. A filtragem das permissões é controlada por valores no ficheiro Dssec.dat. Para resolver este problema, pode utilizar os seguintes passos para delegar permissões para apenas a propriedade Repor palavra-passe e pwdLastSet a um grupo definida pelo utilizador chamado Suporte técnico .
  1. Desactive o filtro para as permissões de utilizador:
    1. Clique em Iniciar , clique em Executar , escreva Dssec.dat na caixa Abrir e, em seguida, clique em OK .
    2. Clique em Abrir com , clique em bloco de notas e, em seguida, clique em OK .
    3. Na secção [utilizador] , edite o valor de pwdLastSet alterando pwdLastSet = 7 para pwdLastSet = 0 .
    4. Saia do bloco de notas.
    Nota Não altere o valor de pwdLastSet na secção [Computer] . Por predefinição, o valor de pwdLastSet não existe na secção [utilizador] do ficheiro Dssec.dat no Windows Server 2003. Por conseguinte, se estiver a executar o Windows Server 2003, terá de adicioná-lo manualmente.
  2. Delegar permissões para o grupo de suporte técnico:
    1. Clique em Iniciar , clique em Executar , escreva dsa.msc na caixa Abrir e, em seguida, clique em OK .
    2. Clique com o botão direito do rato a unidade organizacional ao qual pretende delegar permissões e, em seguida, clique em Delegar controlo .
    3. Clique em seguinte e, em seguida, clique em Adicionar .
    4. Clique em Suporte técnico , clique em Adicionar e, em seguida, clique em OK .
    5. Clique em seguinte , consulte criar uma tarefa personalizada para delegar e, em seguida, clique em seguinte .
    6. Clique em apenas dos seguintes objectos na pasta , clique para seleccionar os objectos de utilizador e, em seguida, clique em seguinte .
    7. Clique para seleccionar o Geral e as caixas de verificação propriedades específicas .
    8. Clique para seleccionar as caixas de verificação Repor palavra-passe , pwdLastSet de ler e escrever pwdLastSet in a permissão de caixa.
    9. Clique em seguinte e, em seguida, clique em Concluir .
  3. Active o filtro para as permissões de utilizador:
    1. Clique em Iniciar , clique em Executar , escreva dssec.dat na caixa Abrir e, em seguida, clique em OK .
    2. Clique em Abrir com , clique em bloco de notas e, em seguida, clique em OK .
    3. Na secção [utilizador] , edite o valor de pwdLastSet alterando pwdLastSet = 0 para pwdLastSet = 7 .
    4. Saia do bloco de notas.
Além disso, se pretender verificar as alterações de segurança, pode seguir estes passos:
  1. Clique em Iniciar , clique em Executar , escreva dsa.msc e, em seguida, clique em OK .
  2. No menu Ver , seleccione funcionalidades avançadas .
  3. Clique com o botão direito do rato na unidade organizacional delegar permissões para e clique em Propriedades .
  4. Clique no separador segurança , faça clique sobre o grupo de Suporte técnico e, em seguida, clique em Avançadas .
  5. Clique em Propriedades de leitura/escrita em Entradas de permissões e clique em Ver/editar
  6. Pode ver que só a leitura pwdLastSet e as propriedades de escrita pwdLastSet estão definidas para Permitir , mas o Suporte técnico não tem acesso a quaisquer outras propriedades.

Mais Informação

Para obter informações adicionais sobre como delegar permissões, clique os números de artigo existente abaixo para visualizar os artigos na base de dados de conhecimento da Microsoft:
235531Considerações sobre segurança de predefinição de Active Directory delegação
229873Assistente de controlo delegado não é possível utilizar para remover utilizadores ou grupos
296490Como modificar as propriedades de um objecto filtradas

Propriedades

Artigo: 296999 - Última revisão: 31 de outubro de 2006 - Revisão: 3.2
A informação contida neste artigo aplica-se a:
  • Microsoft Windows 2000 Server SP1
  • Microsoft Windows 2000 Advanced Server SP1
Palavras-chave: 
kbmt kbacl kbprb KB296999 KbMtpt
Tradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine translation ou MT), não tendo sido portanto revisto ou traduzido por humanos. A Microsoft tem artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais. O objectivo é simples: oferecer em Português a totalidade dos artigos existentes na base de dados do suporte. Sabemos no entanto que a tradução automática não é sempre perfeita. Esta pode conter erros de vocabulário, sintaxe ou gramática? erros semelhantes aos que um estrangeiro realiza ao falar em Português. A Microsoft não é responsável por incoerências, erros ou estragos realizados na sequência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza actualizações frequentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 296999

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com