Sie sind zurzeit offline. Es wird auf die erneute Herstellung einer Internetverbindung gewartet.

Minimale Berechtigungen sind für einen delegierten Administrator Erzwingen der Kennwortänderung bei der nächsten Anmeldung erforderlich.

Wichtig: Dieser Artikel wurde maschinell und nicht von einem Menschen übersetzt. Die Microsoft Knowledge Base ist sehr umfangreich und ihre Inhalte werden ständig ergänzt beziehungsweise überarbeitet. Um Ihnen dennoch alle Inhalte auf Deutsch anbieten zu können, werden viele Artikel nicht von Menschen, sondern von Übersetzungsprogrammen übersetzt, die kontinuierlich optimiert werden. Doch noch sind maschinell übersetzte Texte in der Regel nicht perfekt, insbesondere hinsichtlich Grammatik und des Einsatzes von Fremdwörtern sowie Fachbegriffen. Microsoft übernimmt keine Gewähr für die sprachliche Qualität oder die technische Richtigkeit der Übersetzungen und ist nicht für Probleme haftbar, die direkt oder indirekt durch Übersetzungsfehler oder die Verwendung der übersetzten Inhalte durch Kunden entstehen könnten.

Den englischen Originalartikel können Sie über folgenden Link abrufen: 296999
Problembeschreibung
Standardmäßig, wenn Sie als Administrator der Berechtigung zum Kennwörter auf einen Benutzer oder eine Gruppe zurücksetzen delegieren, indem die des Assistenten, den Benutzer oder Gruppe verfügt nicht über die Berechtigung, einen Benutzer zwingen für den das Kennwort zurückgesetzt wurde, um Ihr Kennwort das nächste Mal ändern, das der Benutzer anmeldet. Wenn der Benutzer, den Sie die Berechtigung zum Zurücksetzen von Kennwörtern erteilen, mit der rechten Maustaste ein Benutzerkonto, klickt auf Kennwort zurücksetzen und klickt dann auf das Kontrollkästchen Benutzer muss Kennwort bei der nächsten Anmeldung ändern des zweiten Benutzers Kennwort zurücksetzen, jedoch diesen Benutzer ist nicht gezwungen, Ihr Kennwort das nächste Mal ändern, das diese Benutzer sich anmeldet.
Ursache
Dies liegt daran, der Benutzer nicht die erforderliche minimale Berechtigung verfügt, die ist notwendig, die Berechtigung Schreiben Kontenbeschränkungen von Benutzerobjekten ist die Option Benutzer muss Kennwort bei der nächsten Anmeldung ändern festgelegt. Beim Delegieren der Möglichkeit zum Zurücksetzen von Kennwörtern ist die nur Berechtigung, die über delegierte Container erteilt die Berechtigung Kennwort zurücksetzen für Benutzerobjekte.
Lösung
Können Sie Assistenten zum Zuweisen der Objektverwaltung delegieren Sie das Kennwort zurücksetzen Berechtigung der delegierte Benutzer. Während, um das Flag "Benutzer muss Kennwort bei der nächsten Anmeldung ändern" ändern, der delegierte Benutzer Schreibberechtigungen für die Benutzercontainer haben muss. Allerdings bietet die Schreibberechtigung den delegierten Benutzer zusätzliche Berechtigungen. Mit anderen Worten, die Kontenbeschränkungen schreiben Berechtigung ist eine super Berechtigung, die den Zugriff auf einige andere Eigenschaften des Benutzers ermöglicht. Die Eigenschaft PwdLastSet kann den Benutzer Ihr Kennwort bei der nächsten Anmeldung ändern verwendet werden. Standardmäßig sind die einzelnen Berechtigungen nicht sichtbar. Die Filterung der Berechtigungen wird durch Werte in der Datei Dssec.dat gesteuert. Um dieses Problem zu beheben, können Sie die folgenden Schritte aus Berechtigungen für nur die Reset Password und PwdLastSet-Eigenschaft auf eine mit dem Namen Help Desk user-defined Gruppe delegieren.
  1. Deaktivieren Sie den Filter für Benutzer Berechtigungen:
    1. Klicken Sie auf Start , klicken Sie auf Ausführen , geben Sie Dssec.dat im Feld Öffnen und klicken Sie dann auf OK .
    2. Klicken Sie auf Öffnen , klicken Sie auf Editor und klicken Sie dann auf OK .
    3. Im Abschnitt [Benutzer] durch ändern den PwdLastSet -Wert bearbeiten PwdLastSet = 7 , PwdLastSet = 0 .
    4. Beenden Sie den Editor.
    Hinweis: Ändern Sie den Wert des PwdLastSet im Abschnitt [Computer] nicht. Standardmäßig ist der PwdLastSet -Wert in der Datei Dssec.dat auf Windows Server 2003 im Abschnitt [Benutzer] nicht vorhanden. Wenn Sie Windows Server 2003 ausführen, müssen Sie daher Sie manuell hinzufügen.
  2. Delegieren Sie die Berechtigungen der Help Desk-Gruppe:
    1. Klicken Sie auf Start , klicken Sie auf Ausführen , geben Sie dsa.msc im Feld Öffnen und klicken Sie dann auf OK .
    2. Klicken Sie mit der rechten Maustaste auf die Organisationseinheit, die Sie Berechtigungen delegieren möchten, und klicken Sie dann auf Objektverwaltung zuweisen .
    3. Klicken Sie auf Weiter , und klicken Sie dann auf Hinzufügen .
    4. Klicken Sie auf Hilfe , klicken Sie auf Hinzufügen und dann auf OK .
    5. Klicken Sie auf Weiter , überprüfen Sie benutzerdefinierte Aufgaben zum Delegieren erstellen und klicken Sie dann auf Weiter .
    6. Klicken Sie auf folgenden Objekten im Ordner , die Benutzerobjekte auswählen Kontrollkästchen, und klicken Sie dann auf Weiter .
    7. Klicken Sie auf der- Allgemein und die Kontrollkästchen Eigenschaftenspezifisch .
    8. Aktivieren Sie das Kontrollkästchen Kennwort zurücksetzen , Lesen PwdLastSet und PwdLastSet schreiben in die Berechtigung im Feld.
    9. Klicken Sie auf Weiter , und klicken Sie dann auf Fertig stellen .
  3. Aktivieren Sie den Filter für Benutzer Berechtigungen:
    1. Klicken Sie auf Start , klicken Sie auf Ausführen , geben Sie dssec.dat im Feld Öffnen und klicken Sie dann auf OK .
    2. Klicken Sie auf Öffnen , klicken Sie auf Editor und klicken Sie dann auf OK .
    3. Im Abschnitt [Benutzer] durch ändern den PwdLastSet -Wert bearbeiten PwdLastSet = 0 , PwdLastSet = 7 .
    4. Beenden Sie den Editor.
Außerdem, wenn Sie die Sicherheitsänderungen überprüfen möchten, können Sie diese Schritte ausführen:
  1. Klicken Sie auf Start , klicken Sie auf Ausführen , geben Sie dsa.msc ein und klicken Sie dann auf OK .
  2. Wählen Sie im Anzeigen die Option Erweiterte Funktionen .
  3. Klicken Sie mit der rechten Maustaste auf die Organisationseinheit, der delegiert von Berechtigungen, und klicken Sie dann auf Eigenschaften .
  4. Klicken Sie auf der Registerkarte Sicherheit , klicken Sie auf die Gruppe Helpdesk , und klicken Sie dann auf Erweitert .
  5. Klicken Sie auf Lesen/Schreiben-Eigenschaft auf die Berechtigungseinträge , und dann auf Anzeigen/Bearbeiten
  6. Sie können sehen, dass nur die PwdLastSet lesen und die Eigenschaften Schreiben PwdLastSet sind auf zulassen festgelegt, aber das Helpdesk keinen Zugriff auf andere Eigenschaften.
Weitere Informationen
Informationen dazu, Delegieren von Berechtigungen finden Sie folgenden Artikel der Microsoft Knowledge Base:
235531Standard-Sicherheitsaspekte in Active Directory-Delegierung
229873Delegaten Assistenten Verfügung stehen nicht zum Entfernen von Gruppen oder Benutzer zur
296490Zum Ändern von gefilterten Eigenschaften eines Objekts

Warnung: Dieser Artikel wurde automatisch übersetzt.

Eigenschaften

Artikelnummer: 296999 – Letzte Überarbeitung: 10/31/2006 02:48:41 – Revision: 3.2

Microsoft Windows 2000 Server SP1, Microsoft Windows 2000 Advanced Server SP1

  • kbmt kbacl kbprb KB296999 KbMtde
Feedback
> async=""> var varAutoFirePV = 1; var varClickTracking = 1; var varCustomerTracking = 1; var Route = "76500"; var Ctrl = ""; document.write("