Как разблокировать пользователя но не давать лишних прав админу?

Question

[tichoblinii]

Всем привет!
Надеюсь на помощь коллективного разума.
Я в роли домен админа, раздаю права.
Домен на Win 2008 R2, контроллеров 2 шт.
Надо: разблокировать учетку пользователя.
Есть дежурный админ. Который принимает запрос, запускает консоль ADUC "от администратора", ищет пользователя, заходит в свойства. Видит, что чекбокс по разблокировке неактивен.
Читает расширенные свойства учетки доп. вкладке (инфа по датам паролей и пр.). Видит блокировку.

Права дежурного админа: "Операторы учетных записей". Но с такими правами не может в разблокировку.
Дополнительные права админа: в корне домена "делегированы" ништяки (правой кнопкой мыши, делегировать, выбраны полномочия по разблокировке, чтению, и управлению УЗ).
После раздачи прав доменным админом, целевой админ применил политики (gpupdate /force с тремя пробелами),
очистил кэш ADUC на всякий, перелогинился, перезагрузил ПК.
Но это не спасло. Права на разблокировку учеток не появились.

Завел тестовую учетку на тестовом ПК (дал права "операторы учетных записей" и делегированные полномочия такие же).
Результата нет. УЗ не разблокирует, свойства читает.

Интересно:
У другого админа в ADUC пункты разблокировки доступны.
Его отдельный ПК не перезагружался длительное время.
Группы этого админа проверены. Идентичны дежурному админу и тестовой учетке.
Политики домена принудительно на все ПК не применялись примерно месяц (вроде всё необходимое настроено).

Что сработало.
Я конечно серьезно нарушил все правила безопасности.
Включил тестовую учетку в BUILTIN/Администраторы на контроллере.
Вот это сработало. Тестовая учетка теперь может в разблокировку пользователей.
Но так быть не должно! Нафига мне ещё один локальный админ домена? Без контроля локального входа.
Проверил и заблокировал.

Не хочу давать лишних прав доступа.
Прав "операторы учетных записей" не хватает.

Ребят, помогите пожалуйста разобраться с правами.
Куда копать?

Comments

[Роман Безруков]

Целевому админу именно права Read lockoutTime и Write lockoutTime делегированы?
Пользователь, которого надо разблокировать, обычный или особенный?
Можно на каком-нибудь пользователе сравнить действующие полномочия (effective permissions) целевого админа и другого админа

[Alexey Dmitriev]

Не расстраивайтесь о нарушении безопасности, у вас контроллеры домена на 2008 - все остальные нарушения вторичны.