如何仅针对特定 OU 中的用户撤销更改密码权限？

John Rennie 和 Sam Cogan 的答案（正如 John 恰当地指出的那样）是“黑客”，因为他们试图禁用用户界面来更改密码，但实际上并没有剥夺用户更改密码的能力。

我认为您正在寻找更改默认情况下在用户帐户所在的 OU 上设置的 Active Directory 权限。我要提醒你不要这样做。由于 Microsoft 已经通过用户帐户对象上的属性提供了此功能，因此使用该已提供的属性确实比更改 AD 权限更好。您可能会找到有效的权限，并且操作系统也可能不会显示有用的消息。

您真的应该只使用 Active Directory 用户和计算机并修改用户帐户的属性的所有受影响的用户。Dart 的答案在功能上与选择所有用户帐户并以图形方式设置其“用户无法更改密码”相同。如果您更喜欢命令行，请执行此操作。

在 Windows 2003 中使用 Active Directory 权限可以通过“扩展权限”来执行此操作。我没有找到关于该功能的好的文档。以下是与更改密码相关的“扩展权限”的一些背景，第一个与 Active Directory“应用程序模式”（或本周微软所称的任何名称）有关：

• http://msdn.microsoft.com/en-us/library/aa746398(VS.85).aspx
• http://bsonposh.com/archives/341

我试图通过在我的测试 W2K3 Active Directory（Windows 2003 域功能级别）中的 OU 上放置“SELF - 拒绝 - 用户对象 - 扩展权限：更改密码”权限来验证 Massimo 的答案，并发现用户对象处于或低于该权限OU 仍然能够使用 GUI 密码更改功能更改其密码。查看每个用户对象，我可以看到继承的“拒绝”权限，但 Active Directory 似乎忽略了它。

只需删除用户对象上的“SELF - 允许 - 更改密码”权限即可获得与上述测试相同的功能。用户仍然被允许更改他们的密码。

我想说，在此基础上，马西莫的回答也没有达到你想要的效果。

我从 Microsoft找到了这篇文章并对其进行了测试。当我将脚本定位到单个用户对象时，它会按预期运行，并且用户无法更改其密码。但是，这对您没有多大帮助，因为您希望在每个 OU 的基础上进行设置。

但是，当我将 Microsoft 的该脚本定位到 OU 时，较长时间的行为符合预期。（此外，如果我修改添加到 OU 的 ACE 以应用于“此对象和子对象”而不是脚本授予的“仅此对象”，则行为仍然不符合预期。）

我真的把我的头撞到了墙上。这看起来像是没有很好记录的 Active Directory 行为的怪癖。我已经阅读了“Active Directory 域服务”和Active Directory 架构文档，但没有找到描述这种行为的文档。

请参阅http://support.microsoft.com/kb/324744

但是请注意，这有点 hack。它不会阻止用户更改密码，它只是从 ctrl-alt-del 对话框中删除了这样做的选项。用户仍然可以使用命令行密码更改器。

JR

是的，您可以通过组策略执行此操作。打开要限制的 OU 的组策略编辑器（右键单击 OU、属性、组策略选项卡）。创建新策略，或编辑现有策略并转到：

User Configuration -> Administrative Templates -> System

在这里，选择 Ctrl+Alt+Del 选项，在右侧窗格中，启用“删除更改密码”选项。

关闭组策略编辑器。为确保其立即应用，打开命令提示符并运行

gpupdate /target:user /force

使用 dsmod。有关为 OU 执行此操作的指南，请参阅http://windowsitpro.com/article/articleid/80359/jsi-tip-7785-how-do-i-modify-active-directory-attributes-for-all-members- of-an-organizational-unit-in-my-domain.html

您可以通过从分配给“SELF”的用户权限中删除（或明确拒绝）“更改密码”来删除对特定用户执行此操作的权限。

您必须手动编辑用户对象本身的 ACL；您可以通过在 Active Directory 用户和计算机控制台中启用高级功能（查看 -> 高级功能），然后打开用户的属性并选择“安全”来访问它。