Делегирование прав в Windows Server 2016R2. Работают, но не со всеми учеткам, что делать?

Question

[UlarSur]

Предоставил определенные права на смену пароля учетных записей определенным группам лиц. Но по какой - то причине некоторые учетные записи поддаются для смены, а некоторые для них недоступны(отказано в доступе, в связи с отсутствием прав). Пришел к выводу что возможно учетные записи которые создаются правами администратора GPO они не могут сбросить, но то что было создано ими получается сбросить. Не сталкивались чем - то похожим ?

Answer 1

[Роман Безруков]

в AD есть учетные записи и группы, которые защищаются механизмами SDProp и AdminSDHolder (атрибут adminCount=1) - обычное делегирование прав для них не работает
Protected Accounts and Groups in Active Directory
Работаем с защищёнными группами, SDProp и AdminSDHolder

Comments

[UlarSur]

Не могу понять, т.е несмотря на то что учетные записи пользователей находятся в одной группе "Пользователи домена", то они тоже коим - то образом могут заблокироваться ?

[Роман Безруков]

UlarSur, что именно непонятно?
- Рядовые пользователи домена могут менять пароль сами себе;
- Операторы учетных записей могут менять пароли всем пользователям, кроме защищенных (у которых adminCount=1), т.е. поменять пароль администраторам домена они не смогут;
- Администраторы домена могут менять всем.
Если вы добавили защищенную учетную запись в группу "Пользователи домена" - это не сделает ее обычной УЗ, и делегирование смены пароля не сработает

[UlarSur]

Роман Безруков, Я вас понял Роман. Но суть в чем, данный домен он узко-специализированный. В нем всего 1000 пользователей. И в данном домене существует только одна группа, на которую я делегировал права на смену пароля. Других групп защищенных нет, я понимаю что не работает смена пароля между пользователями которые в одной группе(на которую я делегировал), но почему не работает смена пароля на рядовых пользователей которые ни находятся ни в какой группе ?

[Роман Безруков]

UlarSur, "кто на ком стоял?" (с)
Если я правильно понял, то у вас право смены пароля (Reset password) делегировано какой-то группе на конкретный OU (какой?).
Естественно, что для всех объектов, которые не попадают в указанный OU и назначенную группу, делегирование работать не будет.
Делегирование административных полномочий в Active...

[UlarSur]

Так как в домене очень мало пользователей, не вижу смысла разделять их по OU. Я раздал права через оснастку.

[Роман Безруков]

UlarSur, 1000 пользователей в домене - это не мало...прямо с корня делегируете права?
сделайте делегирование смены пароля отдельно для User Object внутри OU Domain Users