Permissões mínimas necessárias para um administrador delegado forçar a alteração de senha no próximo procedimento de logon

Traduções deste artigo Traduções deste artigo
ID do artigo: 296999 - Exibir os produtos aos quais esse artigo se aplica.
Expandir tudo | Recolher tudo

Sintomas

Por padrão, quando você, como administrador, delegar a capacidade para redefinir senhas a um usuário ou grupo usando o Assistente de controle para delegação, esse usuário ou grupo não tem permissão para forçar um usuário, para o qual a senha foi redefinida, para alterar sua senha na próxima vez que o usuário fizer logon. Se o usuário a quem você dar permissão para redefinir senhas clica com o botão direito uma conta de usuário, clicar em Redefinir senha e, em seguida, clica para marque a caixa de seleção usuário deve alterar a senha no próximo logon , a última senha do usuário é redefinida, no entanto, esse usuário não será forçado a alterar suas senhas na próxima vez que esse usuário fizer logon.

Causa

Esse comportamento ocorre porque o usuário não tem a permissão mínima necessária que é necessária definir a opção o usuário deve alterar a senha no próximo logon , que é a permissão Gravar restrições de conta em objetos de usuário. Ao delegar a capacidade de redefinir senhas, a permissão somente recebe sobre o recipiente delegado é a permissão Redefinir senha em objetos de usuário.

Resolução

Você pode usar o Assistente para delegação de controle para delegar a Redefinir senha permissão para o usuário delegado. Ao passo que, para alterar o sinalizador "O usuário deve alterar a senha no próximo logon", o usuário delegado deve ter permissão de gravação para os recipientes de usuário. No entanto, a permissão de gravação fornece o usuário delegado com permissões adicionais. Em outras palavras, as Restrições de conta escrever permissão é um super permissão que fornece acesso a algumas outras propriedades de usuário. A propriedade pwdLastSet pode ser usada para forçar o usuário a alterar sua senha no próximo logon. Por padrão, as permissões individuais não são visíveis. A filtragem das permissões é controlada por valores no arquivo Dssec.dat. Para resolver esse problema, você pode usar as seguintes etapas para delegar permissões para somente a propriedade pwdLastSet e Redefinir senha para um grupo definido pelo usuário chamado Técnico .
  1. Desative o filtro para as permissões de usuário:
    1. Clique em Iniciar , clique em Executar , digite Dssec.dat na caixa Abrir e, em seguida, clique em OK .
    2. Clique em Abrir com , clique em Bloco de notas e, em seguida, clique em OK .
    3. Na seção [usuário] , edite o valor pwdLastSet alterando pwdLastSet = 7 para pwdLastSet = 0 .
    4. Feche o Notepad.
    Observação Não altere o valor de pwdLastSet na seção [computador] . Por padrão, o valor pwdLastSet não existe na seção [usuário] do arquivo Dssec.dat no Windows Server 2003. Portanto, se você estiver executando o Windows Server 2003, você precisará adicioná-lo manualmente.
  2. Delegue as permissões ao grupo suporte técnico:
    1. Clique em Iniciar , clique em Executar , digite dsa.msc na caixa Abrir e, em seguida, clique em OK .
    2. Clique com o botão direito do mouse a unidade organizacional à qual você deseja delegar permissões e clique em Delegar controle .
    3. Clique em Avançar e, em seguida, clique em Adicionar .
    4. Clique em Help Desk , clique em Adicionar e, em seguida, clique em OK .
    5. Clique em Avançar , verifique a criar uma tarefa personalizada para delegar e, em seguida, clique em Avançar .
    6. Clique em somente os seguintes objetos na pasta , clique em para selecionar os objetos de usuário de caixa de seleção e, em seguida, clique em Avançar .
    7. Clique para selecionar o Geral e as caixas de seleção específico da propriedade .
    8. Clique para selecionar as caixas de seleção Reset Password , pwdLastSet de leitura e gravação pwdLastSet in a permissão de caixa.
    9. Clique em Avançar e, em seguida, clique em Concluir .
  3. Habilite o filtro para as permissões de usuário:
    1. Clique em Iniciar , clique em Executar , digite dssec.dat na caixa Abrir e, em seguida, clique em OK .
    2. Clique em Abrir com , clique em Bloco de notas e, em seguida, clique em OK .
    3. Na seção [usuário] , edite o valor pwdLastSet alterando pwdLastSet = 0 para pwdLastSet = 7 .
    4. Feche o Notepad.
Além disso, se você desejar verificar as alterações de segurança, você pode seguir estas etapas:
  1. Clique em Iniciar , clique em Executar , digite dsa.msc e, em seguida, clique em OK .
  2. No menu Exibir , selecione recursos avançados .
  3. Clique com o botão direito do mouse na unidade organizacional delegada permissões para e clique em Propriedades .
  4. Clique na guia segurança , clique no grupo Técnico e, em seguida, clique em Avançado .
  5. Clique em Propriedades de leitura/gravação em Entradas de permissão e clique em Exibir/editar
  6. Você pode ver que somente a leitura pwdLastSet e as propriedades de gravação pwdLastSet são definidas para Permitir , mas o Suporte técnico não tem acesso a todas as outras propriedades.

Mais Informações

Para obter informações adicionais sobre como delegar permissões, clique nos números abaixo para ler os artigos na Base de dados de Conhecimento da Microsoft:
235531Preocupações de segurança padrão no Active Directory delegação
229873Assistente de controle delegado não pode ser utilizado para remover grupos ou usuários
296490Como modificar as propriedades de um objeto filtradas

Propriedades

ID do artigo: 296999 - Última revisão: terça-feira, 31 de outubro de 2006 - Revisão: 3.2
A informação contida neste artigo aplica-se a:
  • Microsoft Windows 2000 Server SP1
  • Microsoft Windows 2000 Advanced Server SP1
Palavras-chave: 
kbmt kbacl kbprb KB296999 KbMtpt
Tradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine Translation ou MT), não tendo sido portanto traduzido ou revisto por pessoas. A Microsoft possui artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais, com o objetivo de oferecer em português a totalidade dos artigos existentes na base de dados de suporte. No entanto, a tradução automática não é sempre perfeita, podendo conter erros de vocabulário, sintaxe ou gramática. A Microsoft não é responsável por incoerências, erros ou prejuízos ocorridos em decorrência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza atualizações freqüentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 296999

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com