最小權限所需的委派的系統管理員,以強制執行密碼變更於下一個登入程序

文章翻譯 文章翻譯
文章編號: 296999 - 檢視此文章適用的產品。
全部展開 | 全部摺疊

徵狀

根據預設值,您,系統管理員身分委派能夠重設密碼給使用者或群組使用委派的控制精靈,該使用者或群組沒有權限來強制的使用者為其已重設密碼,下次使用者登入時變更密碼時。如果對象您授與權限重設密碼的使用者會在使用者帳戶上按一下滑鼠右鍵、 按一下 重設密碼,然後按一下以選取 [使用者必須變更密碼,在下次登入時] 核取方塊,後者使用者的密碼重設,不過,此使用者不被迫下次這個使用者登入時變更密碼。

發生的原因

該使用者沒有所需的最小權限所需設定 使用者必須變更密碼,在下次登入時 選項,也就是使用者物件的寫入帳戶限制權限,就會發生這個問題。當您委派能夠重設密碼時,唯一的使用權限,授與透過委派容器會是重設密碼權限,使用者物件上。

解決方案

您可以使用 [委派控制精靈來委派 重設密碼 委派的使用者的權限。而若要變更 「 使用者必須變更密碼在下次登入時 「 旗標,委派的使用者必須具備使用者容器的寫入權限。不過,寫入權限提供額外的權限委派的使用者。亦即 寫入帳戶限制 權限是超級的使用權限,提供對其他使用者屬性的存取。pwdLastSet 屬性可用來強制使用者變更他們的密碼,在下次登入時。預設情況下,個別權限是不可見的。篩選權限是由 Dssec.dat 檔中的值來控制。如果要解決這個問題,您可以使用下列步驟,委派只將 重設密碼] 及 [pwdLastSet 屬性設定為使用者定義的群組,名為 支援服務 的權限。
  1. 停用使用者權限篩選器:
    1. 按一下 [開始],按一下 [執行]、 在 [開啟] 方塊中輸入 Dssec.dat,然後按一下 [[確定]
    2. 依序按一下 [開啟,按一下 [記事本],然後按一下 [確定]
    3. [使用者]] 區段編輯 pwdLastSet 值藉由變更 pwdLastSet = 7pwdLastSet = 0
    4. 結束 [記事本]。
    附註並不會變更 pwdLastSet[電腦] 區段中的值。 預設情況下,pwdLastSet 值不存在於 Dssec.dat 檔案在 Windows Server 2003 上,[使用者] 區段中。因此,如果您執行 Windows Server 2003,您必須以手動方式加入。
  2. 委派支援服務群組的權限:
    1. 按一下 [開始],按一下 [執行]、 在 [開啟] 方塊中輸入 dsa.msc,然後按一下 [[確定]
    2. 以滑鼠右鍵按一下您想要委派權限,組織單位,然後按一下 [委派控制]。
    3. 按一下 [下一步,然後按一下 [新增]。
    4. 按一下 [支援服務,按一下 [新增,] 然後按一下 [確定]
    5. 按一下 [下一步],檢查 建立自訂的任務委派,然後再按一下 [下一步]
    6. 按一下 [僅下列物件在資料夾中的,按一下以選取 [使用者物件] 核取方塊,然後按一下 [下一步]
    7. 按一下以選取 一般] 和 [屬性有關 的核取方塊。
    8. 按一下以選取 [重設密碼]、 [讀取 pwdLastSet,] 和 [寫入 pwdLastSet] 核取方塊在 [權限] 方塊中。
    9. 按一下 [下一步],然後再按一下 [完成]
  3. 啟用使用者權限篩選器:
    1. 按一下 [開始],按一下 [執行]、 在 [開啟] 方塊中輸入 dssec.dat,然後按一下 [[確定]
    2. 依序按一下 [開啟,按一下 [記事本],然後按一下 [確定]
    3. [使用者]] 區段編輯 pwdLastSet 值藉由變更 pwdLastSet = 0pwdLastSet = 7
    4. 結束 [記事本]。
此外,如果想要的內容檢查安全性變更您可以依照下列步驟執行:
  1. 按一下 [開始,按一下 [執行]、 輸入 dsa.msc,然後按一下 [確定]
  2. 在 [檢視] 功能表上, 選取 [進階的功能]。
  3. 委派的權限的組織單位上按一下滑鼠右鍵,然後按一下 [內容]。
  4. 按一下 [安全性] 索引標籤上,按一下 [支援服務] 群組然後再按一下 [進階]
  5. 按一下 [權限項目 上, 讀取/寫入屬性],然後按一下 [檢視/編輯
  6. 您可以看到只在 「 讀取 」 pwdLastSet] 和 [寫入 pwdLastSet] 屬性設定為 [允許,但 支援服務 不具有任何其他屬性的存取。

其他相關資訊

取得更多資訊有關委派權限按一下面的文件編號,檢視 「 Microsoft 知識庫 」 中 「 文件:
235531委派 Active Directory 中的預設安全性考量
229873委派控制精靈不能用來移除群組或使用者
296490如何修改物件的已篩選的屬性

屬性

文章編號: 296999 - 上次校閱: 2006年10月31日 - 版次: 3.2
這篇文章中的資訊適用於:
  • Microsoft Windows 2000 Server SP1
  • Microsoft Windows 2000 Advanced Server SP1
關鍵字:?
kbmt kbacl kbprb KB296999 KbMtzh
機器翻譯
重要:本文是以 Microsoft 機器翻譯軟體翻譯而成,而非使用人工翻譯而成。Microsoft 同時提供使用者人工翻譯及機器翻譯兩個版本的文章,讓使用者可以依其使用語言使用知識庫中的所有文章。但是,機器翻譯的文章可能不盡完美。這些文章中也可能出現拼字、語意或文法上的錯誤,就像外國人在使用本國語言時可能發生的錯誤。Microsoft 不為內容的翻譯錯誤或客戶對該內容的使用所產生的任何錯誤或損害負責。Microsoft也同時將不斷地就機器翻譯軟體進行更新。
按一下這裡查看此文章的英文版本:296999
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。

提供意見

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com