none
Ripristinare utenti protetti (Admin Account = 1) RRS feed

  • Domanda

  • Buongiorno,

    ho creato una delega per i miei utenti di Help Desk per il reset password creazione di nuovi utenti ecc.
    Purtroppo ho un problema che riguarda il reset psw e il disabilita account che non posso eseguire per due account.
    Questi due utenti erano DomanAdmin fino a poco tempo fa poi sono diventati user normalissimi.
    Penso che essendo stati DomaniAdmin siano stati in qualche modo protetti, come posso riportarli ad uno stato di DomainUser standard e quindi potergli resettare la password e disabilitarli.

    Penso che non basti riportare a 0 l'AdminCount giusto?

    Grazie

    Marco 


    giovedì 3 dicembre 2015 11:48

Risposte

  • Ho trovato dalle impostazioni di sicurezza dell'oggetto account che non prendevano le impostazioni di sicurezza per il gruppo delegato al rest password. Ho fatto la modifica a mano e ho risolto.

    Scusate la mia poca praticità ma sono sistemista come hobby e tante cose le imparo da autodidatta i miei unici tutor siete voi del forum.

    Grazie comunque
    Marco

    venerdì 4 dicembre 2015 11:35

Tutte le risposte

  • Ciao,

    dovrebbe essere sufficiente. Provare non comporta rischi del resto :)

    Five common questions about AdminSdHolder and SDProp

    Question: What is AdminCount, and why is it not being decremented to ‘0’ or ‘<not set>’ when I remove a user from a Protected Group?

    Answer: AdminCount is an attribute on the user account that is set to 1 on any users being protected by AdminSdHolder. When protected, the user gets this attribute set and the security inheritance bit is removed from their account.

    The reason AdminCount isn’t set back to 0 when the user is removed from a protected group is that you told us not to! A survey of customers early on in Windows 2000's design found that they favored deleting a user account after its high-privilege rights were revoked, as the account could have created explicit backdoors before having its rights stripped. Therefore the DC does not remove the AdminCount attribute entry, as it is assumed that the account is going to be disabled or deleted.

    If for some reason you didn’t want to get rid of that account after ‘de-admining’ it, you must manually set back to allowing inheritance and set AdminCount to 0, usually through ADSIEDIT.MSC..


    This post is provided AS IS with no warranties or guarantees, and confers no rights.
    ~~~
    Questo post non fornisce garanzie e non conferisce diritti

    giovedì 3 dicembre 2015 13:29
  • CIao,

    ho provato ma non mi sembri funzioni mi dice ancora che non sono autorizzato a reimpostare la psw delgli account ex domain admin.

    giovedì 3 dicembre 2015 14:40
  • Questi account attualmente in quali gruppi si trovano? Sicuro che non si trovano ancora in qualche altro gruppo protetto?

    Ti consiglio inoltre anche di vedere questa pagina:

    http://www.selfadsi.org/extended-ad/ad-permissions-adminsdholder.htm

    potrebbero essere rimaste delle impostazioni di sicurezza errate sull'oggetto.
    giovedì 3 dicembre 2015 14:55
    Moderatore
  • Ho trovato dalle impostazioni di sicurezza dell'oggetto account che non prendevano le impostazioni di sicurezza per il gruppo delegato al rest password. Ho fatto la modifica a mano e ho risolto.

    Scusate la mia poca praticità ma sono sistemista come hobby e tante cose le imparo da autodidatta i miei unici tutor siete voi del forum.

    Grazie comunque
    Marco

    venerdì 4 dicembre 2015 11:35