Bạn hiện đang ngoại tuyến, hãy chờ internet để kết nối lại

Trình duyệt của bạn không được hỗ trợ

Bạn cần cập nhật trình duyệt của mình để sử dụng trang web.

Cập nhật lên Internet Explorer phiên bản mới nhất.

Cấp phép tối thiểu là cần thiết cho một quản trị ủy ép buộc thay đổi mật khẩu ở tiếp theo đăng nhập thủ tục

QUAN TRỌNG: Bài viết này được dịch bằng phần mềm dịch máy của Microsoft chứ không phải do con người dịch. Microsoft cung cấp các bài viết do con người dịch và cả các bài viết do máy dịch để bạn có thể truy cập vào tất cả các bài viết trong Cơ sở Kiến thức của chúng tôi bằng ngôn ngữ của bạn. Tuy nhiên, bài viết do máy dịch không phải lúc nào cũng hoàn hảo. Loại bài viết này có thể chứa các sai sót về từ vựng, cú pháp hoặc ngữ pháp, giống như một người nước ngoài có thể mắc sai sót khi nói ngôn ngữ của bạn. Microsoft không chịu trách nhiệm về bất kỳ sự thiếu chính xác, sai sót hoặc thiệt hại nào do việc dịch sai nội dung hoặc do hoạt động sử dụng của khách hàng gây ra. Microsoft cũng thường xuyên cập nhật phần mềm dịch máy này.

Nhấp chuột vào đây để xem bản tiếng Anh của bài viết này:296999
TRIỆU CHỨNG
Theo mặc định, khi bạn, như là quản trị viên, đoàn các khả năng để đặt lại mật khẩu để một người dùng hay nhóm bằng cách sử dụng các đoàn đại biểu của Thuật sĩ kiểm soát, là người dùng hay nhóm không có sự cho phép để buộc một người sử dụng, cho người mà mật khẩu đã được đặt, để thay đổi mật khẩu của họ tiếp theo thời gian mà người dùng đăng nhập vào. Nếu người dùng mà bạn cho phép để đặt lại mật khẩu right-clicks một tài khoản người dùng, nhấp chuột Đặt lại mật khẩu, và sau đó nhấp chuột để chọn các Người dùng phải thay đổi mật khẩu lúc đăng nhập tiếp theo hộp kiểm tra, mật khẩu người dùng sau đó được đặt lại, tuy nhiên, người dùng này không bắt buộc phải thay đổi mật khẩu của họ tiếp theo thời gian mà người dùng này các bản ghi trên.
NGUYÊN NHÂN
Hành vi này xảy ra bởi vì người dùng không có các yêu cầu sự cho phép tối thiểu cần thiết để thiết lập các Người dùng phải thay đổi mật khẩu đăng nhập tiếp theo tùy chọn, nằm trên một tài khoản viết Giới hạn quyền trên các đối tượng người sử dụng. Khi bạn đại biểu khả năng để thiết lập lại mật khẩu, sự cho phép chỉ được cấp trên container cử là sự cho phép đặt lại mật khẩu trên các đối tượng người sử dụng.
GIẢI PHÁP
Bạn có thể sử dụng thuật sĩ đoàn kiểm soát để phân bổ các Đặt lại mật khẩusự cho phép cho người dùng ủy. Trong khi đó, để thay đổi các "người sử dụng phải đổi mật khẩu trên đăng nhập tiếp theo"cờ, người sử dụng cử phải có viết sự cho phép để các thùng chứa người sử dụng. Tuy nhiên, quyền ghi cung cấp các cử người sử dụng với điều khoản bổ sung. Nói cách khác, các Viết tài khoản Hạn chếsự cho phép là một phép siêu cho phép truy nhập cho một số người dùng khác bất động sản. Bất động sản pwdLastSet có thể được sử dụng để buộc người dùng thay đổi mật khẩu của họ lúc đăng nhập tiếp theo. Theo mặc định, cho phép cá nhân không phải là có thể nhìn thấy. Việc lọc các cấp phép được điều khiển bởi các giá trị trong các Dssec.dat tập tin. Để giải quyết vấn đề này, bạn có thể sử dụng các bước sau để đại biểu cấp phép cho chỉ các Đặt lại mật khẩu và pwdLastSet bất động sản cho một nhóm người dùng xác định tên Giúp bàn làm việc.
  1. Vô hiệu hóa bộ lọc cho các cho phép người sử dụng:
    1. Nhấp vào Bắt đầu, bấm Chạy, loại Dssec.dat trong các Mở hộp, và sau đó nhấp vào Ok.
    2. Nhấp vào Mở với, bấm Notepad, sau đó bấm Ok.
    3. Trong các [Người dùng] o dan adran, chỉnh sửa các pwdLastSetgiá trị bằng cách thay đổi pwdLastSet = 7 để pwdLastSet = 0.
    4. Bỏ thuốc lá Notepad.
    Chú ý Không thay đổi giá trị của pwdLastSet trong các [Máy tính] keá tieáp. Theo mặc định, các pwdLastSet giá trị không tồn tại trong các [Người dùng] phần của tập tin Dssec.dat trên Windows Server 2003. Vì vậy, nếu bạn đang chạy Windows Server 2003, bạn cần phải thêm nó bằng tay.
  2. Đại biểu cấp phép cho nhóm bộ phận trợ giúp:
    1. Nhấp vào Bắt đầu, bấm Chạy, loại DSA.msc trong các Mở hộp, và sau đó nhấp vào Ok.
    2. Nhấp chuột phải vào các đơn vị tổ chức mà bạn muốn đại biểu cấp phép, và sau đó nhấp vào Đại biểu Control.
    3. Nhấp vào Tiếp theo, sau đó bấm Thêm.
    4. Nhấp vào Giúp bàn làm việc, bấm Thêm, sau đó bấm Ok.
    5. Nhấp vào Tiếp theo, kiểm tra Tạo một tác vụ tuỳ chỉnh để phân bổ, sau đó bấm Tiếp theo.
    6. Nhấp vào Chỉ các đối tượng sau đây trong thư mục, nhấn vào đây để chọn các Các đối tượng người dùngkiểm tra hộp và bấm Tiếp theo.
    7. Nhấn vào đây để chọn các Tổng quát và các Đặc trưng cho bất động sản hộp kiểm.
    8. Nhấn vào đây để chọn các Thiết lập lại Mật khẩu, Đọc pwdLastSet, và Viết pwdLastSet kiểm tra hộp trong các Cấp phéphộp.
    9. Nhấp vào Tiếp theo, sau đó bấm Kết thúc.
  3. Bật bộ lọc cho các cho phép người sử dụng:
    1. Nhấp vào Bắt đầu, bấm Chạy, loại dssec.dat trong các Mở hộp, và sau đó nhấp vào Ok.
    2. Nhấp vào Mở với, bấm Notepad, sau đó bấm Ok.
    3. Trong các [Người dùng] o dan adran, chỉnh sửa các pwdLastSet giá trị bằng cách thay đổi pwdLastSet = 0 để pwdLastSet = 7.
    4. Bỏ thuốc lá Notepad.
Ngoài ra, nếu bạn muốn xác minh thay đổi an ninh, bạn có thể làm theo các bước sau:
  1. Nhấp vàoBắt đầu, bấm Chạy, loạiDSA.msc, sau đó bấm Ok.
  2. Trên các Xem trình đơn, chọn Nâng cao Tính năng.
  3. Nhấp chuột phải vào các đơn vị tổ chức mà bạn ủy quyền quyền và sau đó nhấp vào Thuộc tính.
  4. Bấm vào các Bảo mật tab, bấm vào các Giúp bàn làm việc nhóm, và sau đó nhấp vào Nâng cao.
  5. Nhấp vào Thuộc tính đọc/ghi trên cácMục cấp phép, sau đó bấmXem/sửa.
  6. Bạn có thể thấy rằng chỉ những Đọc pwdLastSetvà các Viết pwdLastSet tài sản được thiết lập đểCho phép, nhưng các Giúp bàn làm việc không có quyền truy cập vào bất kỳ thuộc tính khác.
THÔNG TIN THÊM
Để thêm thông tin về Uỷ thác quyền, bấm vào những con số bài viết dưới đây để xem các bài viết trong cơ sở kiến thức Microsoft:
235531 Mối quan tâm an ninh mặc định trong hoạt động thư mục đoàn đại biểu
229873 Thuật sĩ kiểm soát đại biểu không thể được dùng để loại bỏ các nhóm hoặc người dùng
296490 Làm thế nào để sửa đổi các thuộc tính lọc của một đối tượng

Cảnh báo: Bài viết này đã được dịch tự động

Thuộc tính

ID Bài viết: 296999 - Xem lại Lần cuối: 08/25/2011 16:37:00 - Bản sửa đổi: 3.0

  • kbacl kbprb kbmt KB296999 KbMtvi
Phản hồi