|
如何将解锁其他用户账户的权限授予给指定用户 场景 昨天论坛一会员朋友加我QQ向我支招询问在Windows Server 域中是否可以将为其他用户解锁的权限授予给一指定的域用户因为其所在公司有账户锁定策略和长密码的要求所以导致很多员工经常锁定了自己的账号同时由于其公司安全级别要求较高不允许该域用户更高的权限例如为其他用户修改密码的权限有且只希望有解锁其他用户的权利该会员曾尝试通过委派来控制但是没有找到现成的解锁权限 解决方法 首先可以肯定的是AD能够轻松满足这位朋友的要求方法是使用委派控制向导或者使用编辑安全ACL的方法其实在这个问题中我们只要把握住一个关键点就可以了控制用户账户锁定状态的属性是LockoutTime只要指定的用户有对其他用户的这个属性值有修改权限就行了知道这一点后再结合我们经常使用的委派向导或者编辑安全ACL就可以很容易实现了这里我以将为大家演示如何通过两种方法将解锁的权限赋予给用户 方法一修改安全ACL 如图alice用户在默认情况下没有解锁其他用户bob的权限 在域控制器上打开活动目录用户和计算机选择查看?高级功能 然后在域名上右击属性打开属性框如图 定位到安全选项卡点击高级弹出高级安全设置在权限选项卡点击添加输入alice用户如图 在如图中选择应用到用户对象然后将写入LockoutTime权限设置为允许即可 再次尝试用alice用户为bob解锁发现账户已锁定前面的复选框不再是灰色不可选状态如图这就证明alice用户此时的确拥有了为bob解锁的权限 方法二使用委派控制向导 打开活动目录用户和计算机在域名上右击属性选择委派控制打开委派控制向导如图 点击下一步添加alice用户如图 如图中选择创建自定义任务去委派因为委派下列常见任务不足以满足我们的需求 因为对安全要求较高不能委派其他权限给alice所以我们在如图中点击只是在这个文件夹中的下列对象并只勾选用户对象点击下一步 如图中去掉常规的勾选选择特定属性然后勾选写入LockoutTime点击下一步完成即可(所有的属性中并不包含现成的解锁一项所以论坛的这位朋友难怪会找不着) 至此已经通过委派控制的方式达到了我们的目的其实这两个方法本质上都是一样的方法一简单快速方法二更加人性化比较适合初学者 |
