Supportnet / Forum / Windows2000
Active Directory und Objektverwaltung delegieren.
Frage
Hai zusammen,
ich bräuchte einen Tipp. Wir haben in unserer Active Directory Domain, die Userverwaltung an einen bestimmten Admin delegiert. Dieser darf Passwörter zurücksetzen, useraccountcontrol schreiben, etc. Allerdings darf er nicht gesperrte Kontos wieder frei schalten. Wie heisst explizit diese eine Berechtigung, die er haben muss, um den "gesperrt" Haken im Usermanager rausmachen zu dürfen? Weiß das jemand?
Und noch eine Frage: Was muss an den Replikationseinstellungen gedreht werden, daß wenn sich ein User in einem entfernten Standort sperrt (durch mehrmalige falsche Passworteingabe), diese Information in realtime auf allen Domaincontrolern zur Verfügung steht, und nicht erst nach ca. 1/2 Stunde (bis die nächste Replikation durchgelaufen ist...)
Danke für jeden Tipp!!
Adios
Sash
Antwort 1 von MABI
Der Assistent für Objektverwaltung kann verwendet werden, um auf bequeme Weise die Berechtigung zum Zurücksetzen von Kennwörtern zu delegieren. Die Delegation zum Aktivieren und Deaktivieren von Benutzerkonten erfordert jedoch bereits einen manuellen Eingriff, indem ein Benutzer oder eine Gruppe Berechtigungen für die Eigenschaften "UserAccountControl lesen" und "UserAccountControl schreiben" von Benutzerobjekten erhält.
Mit diesen Berechtigungen können jedoch keine gesperrten Konten frei geschaltet werden. Der Unterschied zwischen deaktivierten und gesperrten Konten ist, dass die Sperrung bei einer definierten Anzahl von falschen Kennworteingaben eintritt, die Deaktivierung jedoch vom Administrator vorgenommen wird, wenn ein Konto eine Zeitlang nicht benötigt wird.
Gesperrte Konten lassen sich frei schalten, wenn ein Benutzer (oder eine Gruppe) Berechtigungen für die Benutzer-Eigenschaften "lockoutTime lesen" und "lockoutTime schreiben" erhält. Diese Eigenschaften sind jedoch in der Oberfläche von "Active Directory Benutzer und Computer" ausgeblendet.
In der ASCII-Textdatei "%systemroot%system32dssec.dat" wird festgelegt, welche Attribute angezeigt werden. Zum Einblenden von "lockoutTime" sucht man in dssec.dat den Abschnitt [User] und ändert den Eintrag für "lockoutTime" zu lockoutTime = 0 (statt 7).
Danach muss man die Management-Konsole "Active Directory Benutzer und Computer" neu starten. In den erweiterten Sicherheitseinstellungen für Benutzer-Objekte sind nun die Eigenschaften "lockoutTime lesen" und "lockoutTime schreiben" zu sehen. Benutzer oder Gruppen, die darauf Berechtigungen erhalten, können gesperrte Benutzerkonten wieder frei schalten.
Viel Spass ;-)
Mit diesen Berechtigungen können jedoch keine gesperrten Konten frei geschaltet werden. Der Unterschied zwischen deaktivierten und gesperrten Konten ist, dass die Sperrung bei einer definierten Anzahl von falschen Kennworteingaben eintritt, die Deaktivierung jedoch vom Administrator vorgenommen wird, wenn ein Konto eine Zeitlang nicht benötigt wird.
Gesperrte Konten lassen sich frei schalten, wenn ein Benutzer (oder eine Gruppe) Berechtigungen für die Benutzer-Eigenschaften "lockoutTime lesen" und "lockoutTime schreiben" erhält. Diese Eigenschaften sind jedoch in der Oberfläche von "Active Directory Benutzer und Computer" ausgeblendet.
In der ASCII-Textdatei "%systemroot%system32dssec.dat" wird festgelegt, welche Attribute angezeigt werden. Zum Einblenden von "lockoutTime" sucht man in dssec.dat den Abschnitt [User] und ändert den Eintrag für "lockoutTime" zu lockoutTime = 0 (statt 7).
Danach muss man die Management-Konsole "Active Directory Benutzer und Computer" neu starten. In den erweiterten Sicherheitseinstellungen für Benutzer-Objekte sind nun die Eigenschaften "lockoutTime lesen" und "lockoutTime schreiben" zu sehen. Benutzer oder Gruppen, die darauf Berechtigungen erhalten, können gesperrte Benutzerkonten wieder frei schalten.
Viel Spass ;-)