Как разблокировать пользователя но не давать лишних прав админу?
Всем привет!
Надеюсь на помощь коллективного разума.
Я в роли домен админа, раздаю права.
Домен на Win 2008 R2, контроллеров 2 шт.
Надо: разблокировать учетку пользователя.
Есть дежурный админ. Который принимает запрос, запускает консоль ADUC "от администратора", ищет пользователя, заходит в свойства. Видит, что чекбокс по разблокировке неактивен.
Читает расширенные свойства учетки доп. вкладке (инфа по датам паролей и пр.). Видит блокировку.
Права дежурного админа: "Операторы учетных записей". Но с такими правами не может в разблокировку.
Дополнительные права админа: в корне домена "делегированы" ништяки (правой кнопкой мыши, делегировать, выбраны полномочия по разблокировке, чтению, и управлению УЗ).
После раздачи прав доменным админом, целевой админ применил политики (gpupdate /force с тремя пробелами),
очистил кэш ADUC на всякий, перелогинился, перезагрузил ПК.
Но это не спасло. Права на разблокировку учеток не появились.
Завел тестовую учетку на тестовом ПК (дал права "операторы учетных записей" и делегированные полномочия такие же).
Результата нет. УЗ не разблокирует, свойства читает.
Интересно:
У другого админа в ADUC пункты разблокировки доступны.
Его отдельный ПК не перезагружался длительное время.
Группы этого админа проверены. Идентичны дежурному админу и тестовой учетке.
Политики домена принудительно на все ПК не применялись примерно месяц (вроде всё необходимое настроено).
Что сработало.
Я конечно серьезно нарушил все правила безопасности.
Включил тестовую учетку в BUILTIN/Администраторы на контроллере.
Вот это сработало. Тестовая учетка теперь может в разблокировку пользователей.
Но так быть не должно! Нафига мне ещё один локальный админ домена? Без контроля локального входа.
Проверил и заблокировал.
Не хочу давать лишних прав доступа.
Прав "операторы учетных записей" не хватает.
Ребят, помогите пожалуйста разобраться с правами. Куда копать?
Целевому админу именно права Read lockoutTime и Write lockoutTime делегированы?
Пользователь, которого надо разблокировать, обычный или особенный?
Можно на каком-нибудь пользователе сравнить действующие полномочия (effective permissions) целевого админа и другого админа
Alexey Dmitriev, буду расстраиваться и попытаюсь решить пробему!
Перекинул на тестовую среду текущие контроллеры (WS2008).
В тестовой мигрировал с 2008 до 2022, лесная схема 2016. В целом успешно.
Теперь есть контроллеры на WS2022.
Проблема пока остается.
Повторно буду тестировать группу "операторы учетных записей".
Подозреваю, что нужно посмотреть запрошенные админом права и причину отказа, но пока не знаю где?
Подскажете?
Почитал на тему раздачи прав.
Пишут, что достаточно Read lockoutTime и Write lockoutTime.
Назначаю сразу на домен, контроллю пересекающиеся права в OU.
Через мастер не работает. Через добавление пользователя в "Account Operators", тоже не работает.
Стандартный вариант, тоже не работает.
spoiler
Вот все права которые есть в AD. Что ещё можно дать?
"Надо: разблокировать учетку пользователя."
Нужно найти аттрибуты, которые меняются при блокировке и разблокировке пользователей и через Delegation of Control выдать права на изменение этих атрибутов в нужном OU для созданной группы. Затем просто добавлять в группу нужных пользователей.
Простой
