none
Делегирование прав пользователю на управление учётными записями пользователей. RRS feed

  • Вопрос

  • Приветствую.

    Имеется домен (DC=2003,2008,2008r2), функциональный уровень домена/леса 2003.

    Имеется OU - в ней некое кол-во пользователей. Некоторые заблокированные и т.д.

    Есть пользователь - testuser. Ему необходимо дать права на сброс пароля пользователям, блокирование/разблокирование существующих пользователей и т.п.

    Даю через Delegate Control. Ок. Запускаю ADUC из под testuser, пытаюсь по правой кнопке сбросить пароль - а такой возможности в меню нет и вообще все свойсва учёт ки сильно порезаны (http://i072.radikal.ru/1009/80/6882593d5c21.png)

    Ок. Даю на OU и все вложения полные права для testuser.  Ничего не поменялось.

    Т.е. Тestuser может удалить/создать новую учётку пользователя, но больше с ней он ничего сделать не может (даже с той, которую сам создал).

    Вопрос - что где подкрутить надо ?

    22 сентября 2010 г. 14:01

Все ответы

  • Консоль AD Users and Computers после делегирования прав перезапускали?

    Не путаете имя пользователя с некоей группой или другой учётной записью?

    Включите View -> Advanced Features, можно будет в свойствах контейнеров на закладке Security увидеть, какие же реальные права назначены на контейнер.


    MCPIT: Enterprise Administrator; MCT; Microsoft Security Trusted Advisor
    23 сентября 2010 г. 11:44
  • >Консоль AD Users and Computers после делегирования прав перезапускали?

    Разумеется. На нескольких серверах пробовал

    >Не путаете имя пользователя с некоей группой или другой учётной записью?

    А почему сразу с группой, а не учётной записью компьютера?

    >Включите View -> Advanced Features, можно будет в свойствах контейнеров на закладке Security увидеть, какие же реальные права назначены на контейнер.

    Спасибо капитан (с)

    У Вас интересная подпись - первая часть из трёх у меня тоже есть.

     

    23 сентября 2010 г. 13:24
  • Нефига не понимаю.

    Если добавить в туже OU учётку компьютера, то testuser с ней может сделать всё что хочет (разблокировать / заблокировать и т.д.). А вот с пользовательскими учётными записями - болт, даже пунктов меню таких нет. 

    _ОДНАКО_

    Поставил на тот-же сервер (точнее на два сервера - 2003 и 2008R2) Hyena 8.1 и в ней для testuser-a всё работает.

    Вопрос - где что в dsa.msc подправить надо ??? Изучал результат rsop.msc - ничего крамольного, вроде, не нашёл.

    24 сентября 2010 г. 13:14