Has*_*zar 2 windows password-management
我制作了一项服务,该服务能够在用户通过电话验证自己后,重置、更改密码、解锁锁定的帐户以及读取某个域用户的 AD 配置文件值(例如 sn、名字等)。在目标域服务器上,存在能够执行这些任务的特权帐户。我使用 .NET 框架目录服务 API 并使用特权帐户来执行任务。到目前为止,我的特权帐户基本上是域管理员,并且能够做更多的事情。现在,作为试运行的一部分,我需要知道我需要拥有的确切策略才能仅执行这些任务:
有人可以列出所需的权限吗?我可以配置一个特殊帐户并将其作为部署文档的一部分。
您正在寻找的功能是Active Directory 权限委派。它允许您分配用户或组权限以执行重置密码、编辑特定 Active Directory 属性等操作。
设置它就像右键单击 Active Directory 用户和计算机中的 OU 并选择“委派控制...”一样简单。您可能无需阅读 Microsoft 的文档就可以弄清楚,但我建议您无论如何都阅读它。
| 归档时间: |
|
| 查看次数: |
3021 次 |
| 最近记录: |