如何将解锁其他用户账户的权限授予给指定用户
场景 昨天论坛一会员朋友加我QQ,向我支招,询问在Windows Server 2003域中,是否可以将为其他用户解锁的权限授予给一指定的域用户,因为其所在公司有账户锁定策略和长密码的要求,所以导致很多员工经常锁定了自己的账号,同时由于其公司安全级别要求较高,不允许该域用户更高的权限,例如为其他用户修改密码的权限,有且只希望有解锁其他用户的权利。该会员曾尝试通过委派来控制,但是没有找到现成的解锁权限。
解决方法 首先,可以肯定的是2003AD能够轻松满足这位朋友的要求,方法是使用委派控制向导或者使用编辑安全ACL的方法。其实在这个问题中,我们只要把握住一个关键点就可以了:控制用户账户锁定状态的属性是LockoutTime。只要指定的用户有对其他用户的这个属性值有修改权限就行了。知道这一点后,再结合我们经常使用的委派向导或者编辑安全ACL就可以很容易实现了。这里我以将为大家演示,如何通过两种方法将解锁的权限赋予给用户。
方法一:修改安全ACL 1. alice用户在默认情况下没有解锁其他用户bob的权限。
2. 在域控制器上打开“活动目录用户和计算机”,选择“查看”?”高级功能”
3. 然后在域名a.com上右击属性,打开属性框。
4. 定位到“安全”选项卡,点击“高级”,弹出“高级安全设置”,在“权限”选项卡点击“添加”,输入alice用户。
5. 在如图4中,选择“应用到用户对象”,然后将“写入LockoutTime”权限设置为允许即可。
6. 再次尝试用alice用户为bob解锁,发现“账户已锁定”前面的复选框不再是灰色不可选状态。这就证明alice用户此时的确拥有了为bob解锁的权限。
方法二:使用委派控制向导 1. 打开“活动目录用户和计算机”,在域名a.com上右击属性,选择“委派”控制打开委派控制向导。
2. 点击“下一步“,”添加”alice用户。
3. 选择“创建自定义任务”去委派,因为“委派下列常见任务”不足以满足我们的需求。
4. 因为对安全要求较高,不能委派其他权限给alice,所以我们点击“只是在这个文件夹中的下列对象”,并只勾选“用户对象”,点击“下一步”
5. 去掉“常规”的勾选,选择“特定属性”,然后勾选“写入LockoutTime”,点击”下一步”、“完成”即可。(所有的属性中并不包含现成的解锁一项,所以论坛的这位朋友难怪会找不着。)
6. 至此,已经通过委派控制的方式达到了我们的目的。其实,这两个方法本质上都是一样的,方法一简单快速,方法二更加人性化,比较适合初学者。
责任编辑:小草
您现在的位置: 