最小权限所需的委派的管理员联系,以强制执行密码更改在下次登录过程

文章翻译 文章翻译
文章编号: 296999 - 查看本文应用于的产品
展开全部 | 关闭全部

症状

默认,时,以管理员的身份,委派能够重置密码用户或组通过使用委派控制向导,该用户或组不具有强制已为其重置密码的用户、 更改其密码在下次用户登录权限。如果您为要向其授予权限重置密码在用户右键单击用户帐户,单击 重设密码,然后单击以选中 用户必须更改在下次登录时的密码 复选框,重设后一种用户的密码,但是,此用户不强制此用户登录的下一次更改其密码。

原因

因为用户没有所需的最小权限,您只需设置是在用户对象上的 $ 写入帐户限制权限,用户必须更改在下次登录时的密码 选项,将发生此问题。当委派能够重置密码时,唯一权限被授予委派容器上的将是用户对象的重设密码权限。

解决方案

可以使用控制委派向导来委派 重设密码 委派的用户的权限。而若要更改"用户必须更改在下次登录的密码"标记,委派的用户必须具有用户容器的写权限。但是,写权限提供了委派的用户具有其他权限。也就 写入帐户限制 的权限是提供对某些其他用户属性的访问的超级权限。pwdLastSet 属性可用于强制用户更改其在下一次登录时的密码。默认状态下,个别权限是不可见的。筛选的权限是由 Dssec.dat 文件中的值来控制的。若要解决此问题,您可以使用以下步骤委派为仅 重置密码 和 $ pwdLastSet 属性到名为 帮助台 用户定义的组的权限。
  1. 禁用筛选器为用户权限,请执行以下操作:
    1. 单击 开始,单击 运行,在 打开 框中键入 Dssec.dat 并再单击 确定
    2. 单击 打开方式,单击 记事本,然后单击 确定
    3. [用户] 部分编辑 pwdLastSet 值,通过更改 pwdLastSet = 7pwdLastSet = 0
    4. 退出记事本。
    注意请不要更改 pwdLastSet[计算机] 部分中的值。 默认状态下,Dssec.dat 文件在 Windows Server 2003 上的 [用户] 部分中不存在 pwdLastSet 值。因此,如果您正在运行 Windows Server 2003,您需要手动添加。
  2. 委托给帮助台组权限:
    1. 单击 开始,单击 运行,在 打开 框中键入 dsa.msc,然后单击 确定
    2. 用鼠标右键单击要向其委派权限,该组织单位,然后单击 委派控制
    3. 单击 下一步,然后单击 添加
    4. 单击 帮助台,单击 添加,然后单击 确定
    5. 单击 下一步、 检查 创建自定义任务委派,然后单击 下一步
    6. 单击 文件夹中仅下面的对象,请单击选择 用户对象 复选框,然后单击 下一步
    7. 单击以选中 常规属性特定于 复选框。
    8. 单击以选择 重设密码读取 pwdLastSet,和 写入 pwdLastSet 复选框,在 权限 框中。
    9. 单击 下一步,然后单击 完成
  3. 启用筛选器为用户权限,请执行下列操作:
    1. 单击 开始,单击 运行,在 打开 框中键入 dssec.dat 并再单击 确定
    2. 单击 打开方式,单击 记事本,然后单击 确定
    3. [用户] 部分编辑 pwdLastSet 值,通过更改 pwdLastSet = 0pwdLastSet = 7
    4. 退出记事本。
此外,如果要验证的安全更改您可以请按照下列步骤操作:
  1. 单击 开始,单击 运行,键入 dsa.msc,然后单击 确定
  2. 视图 菜单上选择 高级的功能
  3. 用鼠标右键单击该组织单位委派的权限,然后单击 属性
  4. 安全 选项卡上单击并单击 帮助台 组然后单击 高级
  5. 单击上的 权限项目 中的 读/写属性,然后再单击 查看 / 编辑。
  6. 您可以看到仅在 读取 pwdLastSet 和 $ 写入 pwdLastSet 属性设置为 允许 框中,但 帮助台 没有对任何其他属性的访问。

更多信息

有关委派权限的其他信息请单击下面文章编号,以查看 Microsoft 知识库中相应的文章:
235531在 Active Directory 委派的默认安全注意事项
229873无法删除组或用户使用委派控制向导
296490如何修改对象的已筛选的属性

属性

文章编号: 296999 - 最后修改: 2006年10月31日 - 修订: 3.2
这篇文章中的信息适用于:
  • Microsoft Windows 2000 Server SP1
  • Microsoft Windows 2000 Advanced Server SP1
关键字:?
kbmt kbacl kbprb KB296999 KbMtzh
机器翻译
注意:这篇文章是由无人工介入的微软自动的机器翻译软件翻译完成。微软很高兴能同时提供给您由人工翻译的和由机器翻译的文章, 以使您能使用您的语言访问所有的知识库文章。然而由机器翻译的文章并不总是完美的。它可能存在词汇,语法或文法的问题,就像是一个外国人在说中文时总是可能犯这样的错误。虽然我们经常升级机器翻译软件以提高翻译质量,但是我们不保证机器翻译的正确度,也不对由于内容的误译或者客户对它的错误使用所引起的任何直接的, 或间接的可能的问题负责。
点击这里察看该文章的英文版: 296999
Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性,不作任何声明。 所有该等文件及有关图形均"依样"提供,而不带任何性质的保证。Microsoft和/或其各供应商特此声明,对所有与该等信息有关的保证和条件不负任何责任,该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下,在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中,Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失所导致的之损害、数据或利润不负任何责任。

提供反馈

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com