Автор Тема: ADMC: Insufficient access при редактировании опции учетной записи пользователя  (Прочитано 1057 раз)

Оффлайн sua39

  • Начинающий
  • *
  • Сообщений: 1
Добрый день!
Столкнулся с проблемой при тестировании ADMC 0.12.0.
При создании учетной записи пользователя, консоль ADMC выдаёт ошибку:
Не удалось изменить значение атрибута nTSecurityDescriptor для объекта Vasya Pupkin с "<БИНАРНОЕ ЗНАЧЕНИЕ>" на "<БИНАРНОЕ ЗНАЧЕНИЕ>". Ошибка: "Ошибка сервера: Insufficient access".
Не удалось выключить опцию учетной записи "Пользователь не может изменить пароль" для объекта Vasya Pupkin. Ошибка: "Ошибка сервера: Insufficient access".
При создании учётки все опции оставлены по умолчанию, то есть включена только опция "Пользователь должен сменить пароль при следующем входе в систему"
Пользователю, из-под которого осуществляется запуск ADMC, делегированы все права на управление OU, в котором создаётся новая учётка.

Немного поэкспериментировал дополнительно:
1) Если при создании учётки выставить опцию "Пользователь не может изменить пароль", то второе предложение в тексте ошибки ожидаемо меняется с "Не удалось выключить опцию ..." на "Не удалось включить опцию ...", учётка конечно же не создаётся.
2) Если создать учетную запись пользователя другими средствами, то с помощью ADMC этой учёткой можно будет нормально управлять, за исключением вышеуказанной опции "Пользователь не может изменить пароль" (появляется та же ошибка).
3) Добавление на всякий случай (как написано в мануале) управляющего пользователя в группу Account Operators  не помогает
4) Добавление разрешения "Полный доступ" для управляющей учетной записи на нужное OU не помогает
5) Если добавить управляющего пользователя в группу Domain Admins, то ошибка исчезает, учётка создаётся.
 

Если суммировать результаты, то как будто действительно для изменения опции необходимы именно права администратора домена (в виде наличия управляющей учетной записи в группе Domain Admins)...
Однако я точно знаю, что наличие прав администратора домена технически не обязательно для изменения опции "Пользователь не может изменить пароль" рядовых  не защищённых пользовательских учёток, так как та же Windows-консоль Active Directory Users and Computers из состава RSAT позволяет это делать без проблем.