@UlarSur

Некоторые пользователи не наследуют делегированные права на OU в Active Directory?

668395415882d650013668.png66839546d4bbb914478069.png
На скрине представлены две учетные записи, одна унаследовала делегированные права, другая не унаследовала ее. Эти учетные записи состоят в одной группе на которую были делегированы права на OU (сброс, смена и разблокировка пароля) но как видно один если имеет галочки особые разрешения, другой этого не имеет и соответственно на нее не распространяются правила сброса и смены пароля.

Пытаясь выяснить я заметил одну особенность между учетными записями которые унаследовали/не унаследовали права. А именно если зайти в "Безопасность - Дополнительно - Аудит" там мы можем увидеть особые правила субъекта, я удалил их но результат не изменился. Я заметил что именно с этими учетными записями постоянные проблемы при делегировании, каждый из них возможно когда - то был членом какой - то группы на которую были повышенные делегированные права но после этого теперь постоянные траблы. В прошлый раз я на каждую учетную запись делегировал права в ручную, но сейчас хочу выяснить причину. 66839630b2c0f750060166.png
  • Вопрос задан
  • 89 просмотров
Пригласить эксперта
Ответы на вопрос 1
@mvv-rus
Настоящий админ AD и ненастоящий программист
Скорее всего, потому что они входят или когда-то входили в привилегированную группу:
https://learn.microsoft.com/en-us/windows-server/i... (русский перевод там тоже есть, но он - с ошибками).
Если учетная запись теперь ни в одну из привилегированных групп больше не входит - установите в 0 (через ADSIEdit.msc, например)значение ее атрибута AdminCount и включите наследование.
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы