如何将解锁其他用户账户权限授予给指定用户
如何将解锁其他用户账户的权限授予给指定用户场景
昨天论坛一会员朋友加我QQ,向我支招,询问在Windows Server 2003域中,是否可以将为其他用户解锁的权限授予给一指定的域用户,因为其所在公司有账户锁定策略和长密码的要求,所以导致很多员工经常锁定了自己的账号,同时由于其公司安全级别要求较高,不允许该域用户更高的权限,例如为其他用户修改密码的权限,有且只希望有解锁其他用户的权利。该会员曾尝试通过委派来控制,但是没有找到现成的解锁权限。
解决方法
首先,可以肯定的是2003AD能够轻松满足这位朋友的要求,方法是使用委派控制向导或者使用编辑安全ACL的方法。其实在这个问题中,我们只要把握住一个关键点就可以了:控制用户账户锁定状态的属性是LockoutTime。只要指定的用户有对其他用户的这个属性值有修改权限就行了。知道这一点后,再结合我们经常使用的委派向导或者编辑安全ACL就可以很容易实现了。这里我以将为大家演示,如何通过两种方法将解锁的权限赋予给用户alice@a.com
<
方法一:修改安全ACL
1.如图1,alice用户在默认情况下没有解锁其他用户bob的权限。
2.在域控制器上打开“活动目录用户和计算机”,选择“查看”?”高级功能”
3.然后在域名a.com上右击属性,打开属性框,如图2
4.定位到“安全”选项卡,点击“高级”,弹出“高级安全设置”,在“权限”选项卡点击“添加”,输入alice用户,如图3
5.在如图4中,选择“应用到用户对象”,然后将“写入LockoutTime”权限设置为允许即可。
6.再次尝试用alice用户为bob解锁,发现“账户已锁定”前面的复选框不再是灰色不可选状态,如图5。这就证明alice用户此时的确拥有了为bob解锁的权限。
www.ad119.cn/bbs/attachments/computer/20081230/2008123011245450077801.jpg
www.ad119.cn/bbs/attachments/computer/20081230/2008123011245456277802.jpg
www.ad119.cn/bbs/attachments/computer/20081230/2008123011245460977803.jpg
www.ad119.cn/bbs/attachments/computer/20081230/2008123011245465677804.jpg
www.ad119.cn/bbs/attachments/computer/20081230/2008123011245465677805.jpg
<
方法二:使用委派控制向导
1.打开“活动目录用户和计算机”,在域名a.com上右击属性,选择“委派”控制打开委派控制向导,如图6
2.点击“下一步“,”添加”alice用户,如图7
3.如图8中,选择“创建自定义任务”去委派,因为“委派下列常见任务”不足以满足我们的需求。
4.因为对安全要求较高,不能委派其他权限给alice,所以我们在如图9中点击“只是在这个文件夹中的下列对象”,并只勾选“用户对象”,点击“下一步”
5.如图10中,去掉“常规”的勾选,选择“特定属性”,然后勾选“写入LockoutTime”,点击”下一步”、“完成”即可。(所有的属性中并不包含现成的解锁一项,所以论坛的这位朋友难怪会找不着。)
6.至此,已经通过委派控制的方式达到了我们的目的。其实,这两个方法本质上都是一样的,方法一简单快速,方法二更加人性化,比较适合初学者。
www.ad119.cn/bbs/attachments/computer/20081230/2008123011245470377806.jpg
www.ad119.cn/bbs/attachments/computer/20081230/2008123011245476577807.jpg
www.ad119.cn/bbs/attachments/computer/20081230/2008123011245481277808.jpg
www.ad119.cn/bbs/attachments/computer/20081230/2008123011245490677809.jpg
www.ad119.cn/bbs/attachments/computer/20081230/20081230112454953778010.jpg
<
页:
[1]