在 AD 中委派帳戶解鎖權限

我正在嘗試委派在我們的 Active Directory 域中解鎖使用者帳戶的權限。這應該很容易，我以前做過……但是每次使用者嘗試解鎖帳戶（使用LockoutStatus 工具）時，他都會被拒絕並出現錯誤“您沒有解鎖此帳戶的必要權限。”

這是我所做的：

• 我創建了一個域本地組並添加了應該擁有權限的成員。這是一個多星期前創建的，因此使用者已註銷並再次登錄。
• 在 ADUC 中，我在 OU 上使用了代表權限嚮導，其中包含我們的使用者帳戶，以根據 MSKB 279723 向組授予讀取 lockoutTime 和 Writer lockoutTime 的權限
• 我已經仔細檢查了權限是否在 ADSIEdit 中正確應用。
• 我已強制在所有域控制器之間進行複制，以確保複製權限更改。
• 測試它的使用者已經註銷並再次登錄，以確保他有任何更改應用於他的帳戶。

…涵蓋了我能想到的所有基礎。還有什麼我可能會失去的嗎？

如果您遇到管理員帳戶問題，則可能與由於 AdminSDHolder 導致的每小時重置權限有關

細節

您是否驗證了相關管理員沒有被明確拒絕通過另一個組的成員身份訪問該屬性？

引用自：https://serverfault.com/questions/68718