Domain user cannot change account password


症狀


User無法變更密碼,該無法變更密碼的帳號ACL list裡沒有變更密碼權限,並非所有的帳號都會發生,並且這些帳號分布在各個OU,無法變更帳號本身安全性設定,變更後大約1個小時內恢復未變更的狀態


發生原因


當您委派使用權限使用委派的控制項精靈, 依賴這些使用權限從父容器, 繼承使用權限使用者物件。 不會的受保護的群組的成員從父容器繼承使用權限。 因此, 如果您設定使用的 委派控制精靈, 權限這些使用權限是不適用於的受保護的群組的成員。
請注意 受保護的群組中的成員資格定義為直接成員資格或使用一或多個安全性或發佈群組成員資格可轉移的。 通訊群組是包含的, 因為它們可以轉換成安全性群組。


無法變更密碼可能是adminSDHolder權限不正確所導致


image


請在PDC安裝support tools然後在命令提示字元移動到DSACLs所在的路徑下執行以下指令


dsacls CN=ADMINSDHOLDER,CN=system,DC=Domain,DC=com,DC=tw /G Everyone:CA;”Change Password”


dsacls CN=ADMINSDHOLDER,CN=system, DC=Domain,DC=com,DC=tw /G Self:CA;”Change Password”


DC=Domain,DC=com,DC=tw : 請根據實際環境設置


參考資訊


Delegated permissions are not available and inheritance is automatically disabled


http://support.microsoft.com/kb/817433/en-us

Comments (0)