Minimální oprávnění nutná pro delegovaný správce vynucení změny hesla při dalším postupu přihlášení

Příznaky

Ve výchozím nastavení, pokud, jako správce delegovat schopnost obnovit hesla uživateli nebo skupině pomocí Průvodce delegováním řízení, tento uživatel nebo skupina nemá oprávnění přinutit uživatele, pro kterého obnovení hesla, chcete-li změnit své heslo při příštím přihlášení uživatele. Pokud uživatel, kterému udělíte oprávnění k obnovení hesla klepne pravým tlačítkem myši na uživatelský účet, klepne na tlačítko Vytvořit nové hesloa potom klepnutím zaškrtněte políčko musí uživatel změnit heslo při příštím přihlášení , jeho uživatelského hesla, však není tento uživatel nuceni změnit své heslo při příštím přihlášení uživatele.

Příčina

K tomuto chování dochází, protože uživatel nemá požadovaná minimální oprávnění, které je nutné nastavit možnost musí uživatel změnit heslo při příštím přihlášení , což je omezení zápisu účtu oprávnění u objektů uživatele. Při delegování schopnost obnovit hesla pouze oprávnění, která je poskytnuta prostřednictvím delegované kontejneru je resetovat heslo oprávnění u objektů uživatele.

Řešení

Pomocí Průvodce delegováním řízení můžete delegovat
Resetovat heslo oprávnění delegovanému uživateli. Vzhledem k tomu, chcete-li změnit příznak "Musí uživatel změnit heslo při dalším přihlášení", delegovaný uživatel musí mít oprávnění k zápisu do kontejnerů uživatele. Oprávnění k zápisu však poskytuje delegovaný uživatel s další oprávnění. Jinými slovy oprávnění k Zápisu účtu omezení je super oprávnění, která poskytuje přístup k některé uživatelské vlastnosti. Vlastnost pwdLastSet lze vynutit uživateli změnit své heslo při příštím přihlášení. Individuální oprávnění ve výchozím nastavení, nejsou zobrazeny. Filtrování oprávnění je řízen hodnoty v souboru Dssec.dat. Chcete-li tento problém vyřešit, můžete použít následující kroky delegovat oprávnění pro pouze Resetovat heslo a pwdLastSet vlastnost uživatelem definované skupině s názvem Help Desk.
  1. Filtr pro uživatelské oprávnění zakážete:
    1. Klepněte na tlačítko
      Start, klepněte na tlačítko Spustit, typ
      Dssec.dat v Otevřít pole a pak klepněte na
      OK.
    2. Klepněte na tlačítko Otevřít v programu, klepněte na tlačítko
      Program Poznámkový bloka potom klepněte na tlačítko OK.
    3. V části [uživatel] hodnotu pwdLastSet upravit změnou pwdLastSet = 7 na pwdLastSet = 0.
    4. Ukončete program Poznámkový blok.
    Poznámka: Neměňte hodnotu pwdLastSet v části [počítač] . Ve výchozím hodnota pwdLastSet neexistuje v části [uživatel] v souboru Dssec.dat v systému Windows Server 2003. Proto pokud používáte systém Windows Server 2003, musíte ji přidat ručně.
  2. Delegovat oprávnění pro skupinu odborné pomoci:
    1. Klepněte na tlačítko
      Start, klepněte na tlačítko Spustit, typ
      dsa.msc v Otevřít pole a pak klepněte na tlačítko OK.
    2. Klepněte pravým tlačítkem myši organizační jednotku, ke kterému chcete delegovat oprávnění a klepněte na příkaz Delegovat řízení.
    3. Klepněte na tlačítko Dalšía potom klepněte na tlačítko
      Přidat.
    4. Klepnutím na tlačítko Help Desk, klepněte na tlačítko Přidata potom klepněte na tlačítko
      OK.
    5. Klepněte na tlačítko Další, zkontrolujte
      Vytvořit vlastní úkol delegovánía potom klepněte na tlačítko
      Další.
    6. Klepněte pouze následující objekty ve složce, vyberte uživatelské objekty zaškrtávací políčko a klepněte na tlačítko Další.
    7. Klepnutím zaškrtněte políčka vlastností specifické a Obecné .
    8. Klepněte v poli oprávnění zaškrtněte pole Vytvořit nové heslo, pwdLastSet čísta Zapisovat pwdLastSet .
    9. Klepněte na tlačítko Dalšía potom klepněte na tlačítko
      Dokončit.
  3. Filtr pro uživatelské oprávnění povolte:
    1. Klepněte na tlačítko
      Start, klepněte na tlačítko Spustit, typ
      dssec.dat v Otevřít pole a pak klepněte na
      OK.
    2. Klepněte na tlačítko Otevřít v programu, klepněte na tlačítko
      Program Poznámkový bloka potom klepněte na tlačítko OK.
    3. V části [uživatel] hodnotu pwdLastSet upravit změnou pwdLastSet = 0 k pwdLastSet = 7.
    4. Ukončete program Poznámkový blok.
Navíc pokud chcete ověřit změny zabezpečení, můžete postupujte takto:
  1. Klepněte na tlačítko
    Start, klepněte na tlačítko Spustit, typ
    dsa.msca potom klepněte na tlačítko OK.
  2. V nabídce Zobrazit vyberte Upřesňující funkce.
  3. Klepněte pravým tlačítkem na organizační jednotku, která je přidělena oprávnění a potom klepněte na příkaz Vlastnosti.
  4. Klepněte na kartu zabezpečení , klepněte na skupinu Help Desk a potom klepněte na tlačítko Upřesnit.
  5. Klepněte na vlastnost pro čtení i zápis
    Položky oprávněnía potom klepněte na tlačítko
    View/Edit.
  6. Uvidíte, že pouze pwdLastSet čísta Zapisovat pwdLastSet vlastnosti jsou nastaveny na
    Povolit, ale Linku nemá přístup k jiné vlastnosti.

Další informace

Další informace o delegování oprávnění klepněte na následující čísla článků znalostní báze Microsoft Knowledge Base:
235531 výchozí zabezpečení se v delegování Active Directory
229873 Průvodce delegovat řízení nelze použít k odebrání skupiny nebo uživatele
Jak upravit filtrované vlastnosti objektu 296490

Vlastnosti

ID článku: 296999 - Poslední kontrola: 19. 1. 2017 - Revize: 1

Váš názor