الحد الأدنى من الأذونات المطلوبة لمسؤول مفوضة لفرض تغيير كلمة المرور عند إجراء تسجيل الدخول التالي

الأعراض

بشكل افتراضي، عندما قمت، كالمسؤول، تفويض إمكانية إعادة تعيين كلمات المرور لمستخدم أو مجموعة باستخدام "من معالج تفويض التحكم"، ذلك المستخدم أو المجموعة ليس لديه الإذن لإجبار مستخدم، الذين تم تعيين كلمة المرور، لتغيير كلمة المرور في المرة التالية التي يقوم المستخدم بتسجيل الدخول. إذا كان زر الماوس الأيمن فوق حساب مستخدم الذي منحت إذنا بإعادة تعيين كلمات مرور المستخدم والنقر فوق إعادة تعيين كلمة المروروثم النقر فوق خانة الاختيار يجب على المستخدم تغيير كلمة المرور عند تسجيل الدخول التالي ، تتم إعادة تعيين كلمة مرور المستخدم الأخير، على الرغم من ذلك، لا يضطر هذا المستخدم لتغيير كلمة المرور في المرة التالية التي يقوم هذا المستخدم بتسجيل الدخول.

السبب

يحدث هذا السلوك لأن المستخدم ليس لديه الإذن المطلوب الحد الأدنى اللازم لتعيين الخيار يجب على المستخدم تغيير كلمة المرور عند تسجيل الدخول التالي ، وهو إذن "الكتابة قيود الحساب" على كائنات المستخدم. عندما تقوم بتفويض إمكانية إعادة تعيين كلمات المرور، يتم فقط الإذن الممنوح عبر الحاوية المفوضة إذن "إعادة تعيين كلمة المرور" على كائنات المستخدم.

الحل

يمكنك استخدام "معالج تفويض التحكم" لتفويض
إذن إعادة تعيين كلمة المرور لمستخدم مفوض. بينما لتغيير علامة "يجب على المستخدم تغيير كلمة المرور عند تسجيل الدخول التالي"، يجب أن يكون مستخدم مفوض الحاويات المستخدم إذن الكتابة. ومع ذلك، توفر إذن الكتابة مستخدم مفوض لديه أذونات إضافية. وبعبارة أخرى، هو إذن الكتابة قيود الحساب إذن المتميز الذي يوفر الوصول إلى بعض خصائص المستخدم. يمكن استخدام الخاصية pwdLastSet تفرض على المستخدم تغيير كلمة المرور عند تسجيل الدخول التالي. بشكل افتراضي، تكون الأذونات الفردية غير مرئية. تصفية الأذونات يتم التحكم بالقيم الموجودة في ملف Dssec.dat. لحل هذه المشكلة، يمكنك استخدام الخطوات التالية لتفويض أذونات إعادة تعيين كلمة المرور و pwdLastSet الخاصية فقط إلى مجموعة معرفة من قبل المستخدم باسم مكتب المساعدة.
  1. تعطيل عامل التصفية لأذونات المستخدم:
    1. انقر فوق
      ابدأ، ثم انقر فوق تشغيل، نوع
      Dssec.dat في المربع فتح ، ثم انقر فوق
      OK.
    2. انقر فوق فتح باستخدام، انقر فوق
      برنامج "المفكرة"، ثم انقر فوق موافق.
    3. في المقطع [المستخدم] ، عن طريق تغيير قيمة pwdLastSet تحرير pwdLastSet = 7 إلى pwdLastSet = 0.
    4. قم بإنهاء برنامج "المفكرة".
    ملاحظة: لا تتغير قيمة pwdLastSet في المقطع [الكمبيوتر] . بشكل افتراضي، القيمة pwdLastSet غير موجود في المقطع [المستخدم] من الملف Dssec.dat على Windows Server 2003. ولذلك، إذا كنت تستخدم Windows Server 2003, تحتاج إلى إضافته يدوياً.
  2. تفويض أذونات لمجموعة "مكتب الدعم":
    1. انقر فوق
      ابدأ، ثم انقر فوق تشغيل، نوع
      dsa.msc في فتح مربع ومن ثم انقر فوق موافق.
    2. زر الماوس الأيمن فوق الوحدة التنظيمية التي تريد أن تفوض الأذونات ومن ثم انقر فوق تفويض التحكم.
    3. انقر فوق التالي، ومن ثم انقر فوق
      إضافة.
    4. انقر فوق مكتب المساعدةوانقر فوق إضافة، ثم انقر فوق
      OK.
    5. انقر فوق التالي، التحقق من
      إنشاء مهمة مخصصة لتفويضوثم انقر فوق
      التالي.
    6. انقر فوق الكائنات التالية فقط في المجلدوانقر لتحديد خانة الاختيار كائنات المستخدم ثم انقر فوق التالي.
    7. انقر فوق لتحديد عام وخانات الاختيار الخاصة بالخاصية .
    8. انقر لتحديد خانات الاختيار إعادة تعيين كلمة المرور pwdLastSet القراءةو الكتابة pwdLastSet في مربع الأذونات .
    9. انقر فوق التالي، ومن ثم انقر فوق
      قم إنهاء.
  3. تمكين عامل التصفية لأذونات المستخدم:
    1. انقر فوق
      ابدأ، ثم انقر فوق تشغيل، نوع
      dssec.dat في المربع فتح ، ثم انقر فوق
      OK.
    2. انقر فوق فتح باستخدام، انقر فوق
      برنامج "المفكرة"، ثم انقر فوق موافق.
    3. في المقطع [المستخدم] ، عن طريق تغيير قيمة pwdLastSet تحرير pwdLastSet = 0 إلى pwdLastSet = 7.
    4. قم بإنهاء برنامج "المفكرة".
بالإضافة إلى ذلك، إذا كنت تريد التحقق من تغييرات الأمان، الذي اتبع هذه الخطوات:
  1. انقر فوق
    ابدأ، ثم انقر فوق تشغيل، نوع
    dsa.msc، ثم انقر فوق موافق.
  2. من القائمة عرض ، حدد ميزات متقدمة.
  3. زر الماوس الأيمن فوق الوحدة التنظيمية التي تم تفويض أذونات إلى وانقر فوق خصائص.
  4. انقر فوق علامة التبويب أمان ، انقر فوق مجموعة مكتب الدعم ، وثم انقر فوق خيارات متقدمة.
  5. انقر فوق خاصية القراءة/الكتابة
    إدخالات الأذوناتومن ثم انقر فوق
    View/Edit.
  6. يمكنك أن ترى تعتزم فقط قراءة pwdLastSetوخصائص الكتابة pwdLastSet
    السماح، ولكن مكتب المساعدة لا يحصلون على أية خصائص أخرى.

مزيد من المعلومات

للحصول على معلومات إضافية حول تفويض أذونات، انقر فوق أرقام المقالات التالية لعرضها في "قاعدة المعارف ل Microsoft":
اعتبارات الأمان الافتراضي 235531 في خدمة active Directory التفويض
لا يمكن استخدام "معالج تفويض التحكم" لإزالة مستخدمين أو مجموعات 229873
كيفية تعديل خصائص كائن مصفاة 296490

خصائص

رقم الموضوع: 296999 - آخر مراجعة: 18‏/01‏/2017 - المراجعة: 1

تعليقات