那些遇到过的问题

服务帐户

Tim*_*der 5 password active-directory delegation

我们有一个服务帐户,它是域管理员组的成员。这是让我特别不舒服的事情。

我希望尽快改变这一点,但我对 AD 权限还很陌生。服务帐户的主要用途是用于 LDAP 查询,因此我已分配帐户域用户成员资格。麻烦的是,它还需要能够代表用户重置密码。我正在查看委托控制,但只能看到“下次登录时重置用户密码和强制更改”。需要的是发生复位但不设置力变化。我试图手动指定一个角色,但由于不同权限的数量之多,我有点超出了我的深度。

有没有人对将密码重置的控制权委托给另一个用户需要什么权限有任何指导?

MDM*_*rra 3

您委派此任务所需的最小粒度权限是:

Reset Password    
Read pwdLastSet    
Write pwdLastSet
Run Code Online (Sandbox Code Playgroud)

您应该创建一个新的安全组,使用委派向导将这些权限委派给它,然后将服务帐户添加到新组。

  • @TimAlexander 简而言之,它更可持续且更容易审计。如果您需要任何其他帐户拥有此权限,您只需将它们添加到组中即可,而不必全部委派。如果您不再需要该服务帐户来重置密码,只需将其从组中删除即可,而不是删除所有权限。长答案需要在网站上询问。 (2认同)

归档时间:

查看次数:

123 次

最近记录:

14 年,1 月 前
相关归档
为什么在 Windows 7 上出现“错误密码”需要很长时间? 15
如何使 AD 对于将其用作 LDAP 服务的应用程序高度可用 6
ADFS v2 服务器是否必须位于实际的域服务器上? 5
执行到 2012 FL Active Directory 域/林的迁移? 5
什么是 MS-Membership Transitive.LDF? 4
当 dc 关闭时,用户可以在域网络上获得身份验证吗 3
用大写/小写和数字批量生成密码的脚本 2
这会是子域的一个很好的理由吗? 2
在域管理员帐户下运行 SQL Server 服务 1
为什么我不能将 DNS 区域复制到非 DC DNS 服务器? 1
难疑归档
你如何重新启动php-fpm? 183
DNS - NSLOOKUP 非权威答案是什么意思? 157
DNS 区域文件中的“@”是什么意思? 130
使用crontab进行作业调度,那段时间电脑关机会怎样? 123
记录管理员在生产服务器上运行的所有命令 80
ssh 连接需要永远启动,停留在“承诺:网络” 71
ec2 中 PV 和 HVM 虚拟化类型有什么区别? 70
如何使用 iptables PREPEND 规则而不是 APPEND? 67
为什么我的 XFS 文件系统突然消耗更多空间并充满稀疏文件? 65
是否必须在将托管 SSL 证书的服务器上生成 CSR? 62