你目前正处于脱机状态,正在等待 Internet 重新连接

如何委派取消帐户锁定权限

概要
本文介绍为 Active Directory 中的特定组或用户委派取消用户帐户锁定权限的过程。
更多信息
若要为委派控制向导显示取消帐户锁定 (lockoutTime) 权限,请按照下列步骤操作:
  1. 在计划运行“Active Directory 用户和计算机”控制台的 Windows 2000 计算机上,使用 Microsoft 写字板打开 %Systemroot%\System32\Dssec.dat 文件。
  2. 编辑菜单上,使用查找命令找到 [user]。
  3. user 部分下面,找到 lockoutTime 项。各项是按字母顺序列出的。
  4. 将 lockoutTime 项的值由 lockoutTime=7 更改为 lockoutTime=0。
  5. 文件菜单上,单击另存为。在显示格式设置警告消息时,单击确定。此时,可以在控制委派向导中选择“读取 lockoutTime”和“写入 lockoutTime”用户权限。
若要为组或用户委派权限,请按照下列步骤操作:
  1. 创建组或用户帐户,使其拥有“Active Directory 用户和计算机”中的用户帐户(例如,Help Desk Admins)的取消锁定权限。
  2. 右键单击“Active Directory 用户和计算机”中的域,然后在所显示的菜单中单击委派控制
  3. 此时将显示控制委派向导。在欢迎对话框中,单击下一步
  4. 用户和组对话框中,单击添加。从列表中选择要授予取消帐户锁定权限的组,然后单击确定。在用户和组对话框中,单击下一步
  5. 要委派的任务对话框中,单击“创建自定义任务去委派”,然后单击下一步
  6. 在“Active Directory 对象类型”对话框中,单击“只是在这个文件夹中的下列对象:”。在列表中,单击“用户对象”(列表中的最后一项),然后单击下一步
  7. 权限对话框中,单击清除常规复选框,然后单击选中特定属性复选框。在权限列表中,单击选中“读取 lockoutTime”复选框,单击选中“写入 lockoutTime”复选框,然后单击下一步
  8. 在“完成控制委派向导”对话框中,单击完成
通过执行本文所述的步骤,可以为特定域或组织单位 (OU) 的组或用户委派“读取 lockoutTime”和“写入 lockoutTime”帐户权限。由于帐户策略是域特定的,因此只能在整个域内实现帐户锁定策略。如果为任何用户或组授予了读写某个 OU 或其他容器的 LockoutTime 属性的权限,则该用户或组可以将该容器内的用户帐户取消锁定。被授予此权限的用户或组不必位于其拥有权限的容器中。

这种委派并不会影响其他域中的权限或策略,即便是同一目录林中的域或作为目录林根的域也不会受到影响。

有关 Windows 2000 中的帐户策略的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
255550 在 Active Directory 中配置帐户策略
属性

文章 ID:294952 - 上次审阅时间:06/29/2004 10:06:00 - 修订版本: 2.0

  • Microsoft Windows 2000 Service Pack 1
  • Microsoft Windows 2000 Service Pack 2
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Service Pack 2
  • kbhowto KB294952
反馈