我正在尝试委派在我们的 Active Directory 域中解锁用户帐户的权限。这应该很容易,我以前做过......但是每次用户尝试解锁帐户(使用LockoutStatus 工具)时,他都会被拒绝并出现错误“您没有解锁此帐户的必要权限。”
这是我所做的:
- 我创建了一个域本地组并添加了应该拥有权限的成员。这是一个多星期前创建的,因此用户已注销并再次登录。
- 在 ADUC 中,我在 OU 上使用了代表权限向导,其中包含我们的用户帐户,以根据 MSKB 279723 向组授予读取 lockoutTime 和 Writer lockoutTime 的权限
- 我已经仔细检查了权限是否在 ADSIEdit 中正确应用。
- 我已强制在所有域控制器之间进行复制,以确保复制权限更改。
- 测试它的用户已经注销并再次登录,以确保他有任何更改应用于他的帐户。
...涵盖了我能想到的所有基础。还有什么我可能会丢失的吗?
如果您遇到管理员帐户问题,则可能与由于 AdminSDHolder 导致的每小时重置权限有关
细节
您是否验证了相关管理员没有被明确拒绝通过另一个组的成员身份访问该属性?
几个月前我遇到了类似的问题,为了解决这个问题,我在 AD 中创建了一个新组,在其中添加用户,然后我创建了一个新域组策略并在新域策略中创建了一个受限组,然后我添加了所有需要从我创建的新 AD 组访问 AD 锁定工具的用户到新组策略中的受限组,并且宾果游戏有效。
只需确保您首先在测试域上进行测试,以确保您不会在现场破坏任何东西。