Permissões mínimas necessárias para um administrador delegado forçar a alteração de senha no próximo procedimento de logon

IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine Translation ou MT), não tendo sido portanto traduzido ou revisto por pessoas. A Microsoft possui artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais, com o objetivo de oferecer em português a totalidade dos artigos existentes na base de dados de suporte. No entanto, a tradução automática não é sempre perfeita, podendo conter erros de vocabulário, sintaxe ou gramática. A Microsoft não é responsável por incoerências, erros ou prejuízos ocorridos em decorrência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza atualizações freqüentes ao software de tradução automática (MT). Obrigado.

Clique aqui para ver a versão em Inglês deste artigo: 296999
Sintomas
Por padrão, quando você, como administrador, delegar a capacidade para redefinir senhas a um usuário ou grupo usando o Assistente de controle para delegação, esse usuário ou grupo não tem permissão para forçar um usuário, para o qual a senha foi redefinida, para alterar sua senha na próxima vez que o usuário fizer logon. Se o usuário a quem você dar permissão para redefinir senhas clica com o botão direito uma conta de usuário, clicar em Redefinir senha e, em seguida, clica para marque a caixa de seleção usuário deve alterar a senha no próximo logon , a última senha do usuário é redefinida, no entanto, esse usuário não será forçado a alterar suas senhas na próxima vez que esse usuário fizer logon.
Causa
Esse comportamento ocorre porque o usuário não tem a permissão mínima necessária que é necessária definir a opção o usuário deve alterar a senha no próximo logon , que é a permissão Gravar restrições de conta em objetos de usuário. Ao delegar a capacidade de redefinir senhas, a permissão somente recebe sobre o recipiente delegado é a permissão Redefinir senha em objetos de usuário.
Resolução
Você pode usar o Assistente para delegação de controle para delegar a Redefinir senha permissão para o usuário delegado. Ao passo que, para alterar o sinalizador "O usuário deve alterar a senha no próximo logon", o usuário delegado deve ter permissão de gravação para os recipientes de usuário. No entanto, a permissão de gravação fornece o usuário delegado com permissões adicionais. Em outras palavras, as Restrições de conta escrever permissão é um super permissão que fornece acesso a algumas outras propriedades de usuário. A propriedade pwdLastSet pode ser usada para forçar o usuário a alterar sua senha no próximo logon. Por padrão, as permissões individuais não são visíveis. A filtragem das permissões é controlada por valores no arquivo Dssec.dat. Para resolver esse problema, você pode usar as seguintes etapas para delegar permissões para somente a propriedade pwdLastSet e Redefinir senha para um grupo definido pelo usuário chamado Técnico .
  1. Desative o filtro para as permissões de usuário:
    1. Clique em Iniciar , clique em Executar , digite Dssec.dat na caixa Abrir e, em seguida, clique em OK .
    2. Clique em Abrir com , clique em Bloco de notas e, em seguida, clique em OK .
    3. Na seção [usuário] , edite o valor pwdLastSet alterando pwdLastSet = 7 para pwdLastSet = 0 .
    4. Feche o Notepad.
    Observação Não altere o valor de pwdLastSet na seção [computador] . Por padrão, o valor pwdLastSet não existe na seção [usuário] do arquivo Dssec.dat no Windows Server 2003. Portanto, se você estiver executando o Windows Server 2003, você precisará adicioná-lo manualmente.
  2. Delegue as permissões ao grupo suporte técnico:
    1. Clique em Iniciar , clique em Executar , digite dsa.msc na caixa Abrir e, em seguida, clique em OK .
    2. Clique com o botão direito do mouse a unidade organizacional à qual você deseja delegar permissões e clique em Delegar controle .
    3. Clique em Avançar e, em seguida, clique em Adicionar .
    4. Clique em Help Desk , clique em Adicionar e, em seguida, clique em OK .
    5. Clique em Avançar , verifique a criar uma tarefa personalizada para delegar e, em seguida, clique em Avançar .
    6. Clique em somente os seguintes objetos na pasta , clique em para selecionar os objetos de usuário de caixa de seleção e, em seguida, clique em Avançar .
    7. Clique para selecionar o Geral e as caixas de seleção específico da propriedade .
    8. Clique para selecionar as caixas de seleção Reset Password , pwdLastSet de leitura e gravação pwdLastSet in a permissão de caixa.
    9. Clique em Avançar e, em seguida, clique em Concluir .
  3. Habilite o filtro para as permissões de usuário:
    1. Clique em Iniciar , clique em Executar , digite dssec.dat na caixa Abrir e, em seguida, clique em OK .
    2. Clique em Abrir com , clique em Bloco de notas e, em seguida, clique em OK .
    3. Na seção [usuário] , edite o valor pwdLastSet alterando pwdLastSet = 0 para pwdLastSet = 7 .
    4. Feche o Notepad.
Além disso, se você desejar verificar as alterações de segurança, você pode seguir estas etapas:
  1. Clique em Iniciar , clique em Executar , digite dsa.msc e, em seguida, clique em OK .
  2. No menu Exibir , selecione recursos avançados .
  3. Clique com o botão direito do mouse na unidade organizacional delegada permissões para e clique em Propriedades .
  4. Clique na guia segurança , clique no grupo Técnico e, em seguida, clique em Avançado .
  5. Clique em Propriedades de leitura/gravação em Entradas de permissão e clique em Exibir/editar
  6. Você pode ver que somente a leitura pwdLastSet e as propriedades de gravação pwdLastSet são definidas para Permitir , mas o Suporte técnico não tem acesso a todas as outras propriedades.
Mais Informações
Para obter informações adicionais sobre como delegar permissões, clique nos números abaixo para ler os artigos na Base de dados de Conhecimento da Microsoft:
235531Preocupações de segurança padrão no Active Directory delegação
229873Assistente de controle delegado não pode ser utilizado para remover grupos ou usuários
296490Como modificar as propriedades de um objeto filtradas

Aviso: este artigo foi traduzido automaticamente

Propriedades

ID do Artigo: 296999 - Última Revisão: 10/31/2006 02:48:41 - Revisão: 3.2

Microsoft Windows 2000 Server SP1, Microsoft Windows 2000 Advanced Server SP1

  • kbmt kbacl kbprb KB296999 KbMtpt
Comentários