如何將解鎖其他用戶賬戶的權限授予給指定用戶
場景
昨天論壇一會員朋友加我QQ向我支招詢問在Windows Server 域中是否可以將為其他用戶解鎖的權限授予給一指定的域用戶因為其所在公司有賬戶鎖定策略和長密碼的要求所以導致很多員工經常鎖定了自己的賬號同時由於其公司安全級別要求較高不允許該域用戶更高的權限例如為其他用戶修改密碼的權限有且只希望有解鎖其他用戶的權利該會員曾嘗試通過委派來控制但是沒有找到現成的解鎖權限
解決方法
首先可以肯定的是AD能夠輕松滿足這位朋友的要求方法是使用委派控制向導或者使用編輯安全ACL的方法其實在這個問題中我們只要把握住一個關鍵點就可以了控制用戶賬戶鎖定狀態的屬性是LockoutTime只要指定的用戶有對其他用戶的這個屬性值有修改權限就行了知道這一點後再結合我們經常使用的委派向導或者編輯安全ACL就可以很容易實現了這裡我以將為大家演示如何通過兩種方法將解鎖的權限賦予給用戶
方法一修改安全ACL
如圖alice用戶在默認情況下沒有解鎖其他用戶bob的權限
在域控制器上打開活動目錄用戶和計算機選擇查看?高級功能
然後在域名上右擊屬性打開屬性框如圖
定位到安全選項卡點擊高級彈出高級安全設置在權限選項卡點擊添加輸入alice用戶如圖
在如圖中選擇應用到用戶對象然後將寫入LockoutTime權限設置為允許即可
再次嘗試用alice用戶為bob解鎖發現賬戶已鎖定前面的復選框不再是灰色不可選狀態如圖這就證明alice用戶此時的確擁有了為bob解鎖的權限
方法二使用委派控制向導
打開活動目錄用戶和計算機在域名上右擊屬性選擇委派控制打開委派控制向導如圖
點擊下一步添加alice用戶如圖
如圖中選擇創建自定義任務去委派因為委派下列常見任務不足以滿足我們的需求
因為對安全要求較高不能委派其他權限給alice所以我們在如圖中點擊只是在這個文件夾中的下列對象並只勾選用戶對象點擊下一步
如圖中去掉常規的勾選選擇特定屬性然後勾選寫入LockoutTime點擊下一步完成即可(所有的屬性中並不包含現成的解鎖一項所以論壇的這位朋友難怪會找不著)
至此已經通過委派控制的方式達到了我們的目的其實這兩個方法本質上都是一樣的方法一簡單快速方法二更加人性化比較適合初學者
From:http://tw.wingwit.com/Article/os/fwq/201311/10288.html