Почему права делегирования не работают?

Question

[UlarSur]

Я добавил (Read lockoutTime и Write lockoutTime) и сброс пароля (Reset password). Права делегирования работают на всех учетках кроме членов группы в котором состоят сами пользователи для которых были делегированы права. Почему ?

Comments

[Роман Безруков]

делегирование на каком уровне настроено? и в какой группе состоят проблемные пользователи?

[UlarSur]

Роман Безруков, ну я через оснастку настроил. На оснастку домена нажимаю и оттуда выбираю группу. Делегирование не работают на ту же группу на которую я делегировал права на смену и сброс. Остальные все пользователи поддаются, но именно члены которые состоят в одной группе имеют одинаковые права не могут сбрасывать друг другу пароли.

[Роман Безруков]

UlarSur, понятно, что через оснастку...делегирование настраиваете на весь домен или на конкретный OU? в группе, которой делегируются права, какие пользователи - обычные или администраторы домена, операторы учетных записей и т.д.?

[UlarSur]

Роман Безруков, через оснастку управления настраиваю на весь домен. В группе которой делегируются права пользователи обычные. Я не понимаю что значит обычные, но это юзерские учетки которые состоят в группе Хелп Деск и пользователи домена. Для них я делегировал права чтобы они могли сбрасывать пароли и разблокировать учетки. Это работает на все учетки помимо тех учетных записей которые состоят в той же группе хэлпдеск.
Говоря проще Вася Пупкин из группы Хэлп Деск не может сбросить пароль Жене Залупкин из группы хэлпдеск, но они оба могут сбросить пароль Анне Говняне которая в группе пользователи.

Еще случился трабл когда я хотел дать одной группе права на управление оснасткой АД. Чтобы пользователи могли вносить запись, создавать подразделения, создавать пользователей, НО НЕ МОГЛИ НИЧЕГО УДАЛЯТЬ ЕСЛИ ДАЖЕ СОЗДАЛИ ОШИБОЧНО, как говорится хотел сделать защиту от дураков и делегировал права через группу. Но почему - то они могли делать все с поздразделениями и пользователями, запрет на удаление не действовал. Правда я как - то его не обозначал, но галочку на удаление при делегировании не нажимал. Дошло до абсурда что эти учетки могли сбрасывать пароль учетной записи администратора домена...