4
Berechtigung zum Passwortreset für ausgewählte Domänenbenutzer vergeben
Hallo,
bei uns im Unternehmen kommt es leider öfters vor das User ihr Passwort vergessen oder zu oft falsch eingeben. Ich (Administrator) bin auch ab und an mal im Urlaub und bin nicht zu erreichen.
Nun würde ich gerne einen bestimmten Benutzer die Rechte erteilen das er Passwörter zurück setzen kann. Um dies zu bewerkstelligen gehe ich wie folgt vor:
Ich erstelle in dem AD eine Ou , darin eine Gruppe xy. Nun erteile ich in der Objektverwaltung der OU der Gruppe xy das Recht "Setzt Benutzerkennwörter zurück..."
Als nächtes füge ich der Gruppe xy den Benutzer meines Vertrauens zu. So weit, so gut. Wenn der Benutzer nun versucht ein Passwort zurück zu setzen bekommt er folgende Meldung:
"Das Kennwort für xy kann aufgrund folgenden Problems nicht geändert werden: Zugriff verweigert"
Ich gehe mal davon aus das ich irgendwo eine Berechtigung vergessen habe, habe im Netz aber keine Lösung gefunden.
Kann mir bitte jemand einen Hinweis geben woe mein Fehler liegt?
Das Betriebssystem ist Windows Server 2016.
Vielen Dank im voraus,
Micha
bei uns im Unternehmen kommt es leider öfters vor das User ihr Passwort vergessen oder zu oft falsch eingeben. Ich (Administrator) bin auch ab und an mal im Urlaub und bin nicht zu erreichen.
Nun würde ich gerne einen bestimmten Benutzer die Rechte erteilen das er Passwörter zurück setzen kann. Um dies zu bewerkstelligen gehe ich wie folgt vor:
Ich erstelle in dem AD eine Ou , darin eine Gruppe xy. Nun erteile ich in der Objektverwaltung der OU der Gruppe xy das Recht "Setzt Benutzerkennwörter zurück..."
Als nächtes füge ich der Gruppe xy den Benutzer meines Vertrauens zu. So weit, so gut. Wenn der Benutzer nun versucht ein Passwort zurück zu setzen bekommt er folgende Meldung:
"Das Kennwort für xy kann aufgrund folgenden Problems nicht geändert werden: Zugriff verweigert"
Ich gehe mal davon aus das ich irgendwo eine Berechtigung vergessen habe, habe im Netz aber keine Lösung gefunden.
Kann mir bitte jemand einen Hinweis geben woe mein Fehler liegt?
Das Betriebssystem ist Windows Server 2016.
Vielen Dank im voraus,
Micha
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 351548
Url: https://administrator.de/contentid/351548
Printed on: April 19, 2024 at 06:04 o'clock
4 Comments
Latest comment
Hi,
richtiger Ansatz.
Nur, der Benutzer hat dann nur das Recht, Kennwörter von Benutzern unterhalb dieser OU zu ändern.
Mach es mal so:
- Hilfs-Admin-Benutzer kann in OU sein egal wo
- Hilfs-Admin-Gruppe kann in OU sein egal wo
- Hilfs-Admin-Benutzer ist Mitglied in Hilfs-Admin-Gruppe
- Hilfs-Admin-Gruppe erteilst Du Objektverwaltung "Setzt Benutzerkennwörter zurück..." auf jener OU, unter welcher die betreffenden Benutzerobjekte gespeichert sind, deren Kennwörter er zurücksetzen darf.
E.
richtiger Ansatz.
Nur, der Benutzer hat dann nur das Recht, Kennwörter von Benutzern unterhalb dieser OU zu ändern.
Mach es mal so:
- Hilfs-Admin-Benutzer kann in OU sein egal wo
- Hilfs-Admin-Gruppe kann in OU sein egal wo
- Hilfs-Admin-Benutzer ist Mitglied in Hilfs-Admin-Gruppe
- Hilfs-Admin-Gruppe erteilst Du Objektverwaltung "Setzt Benutzerkennwörter zurück..." auf jener OU, unter welcher die betreffenden Benutzerobjekte gespeichert sind, deren Kennwörter er zurücksetzen darf.
E.
Hi Micha.
Wie macht der "Nutzer Deines Vertrauens" das? Nutzt er RSAT? Wurde die mmc mit ADUC elevated gestarted?
Wie macht der "Nutzer Deines Vertrauens" das? Nutzt er RSAT? Wurde die mmc mit ADUC elevated gestarted?
Vielen Dank für eure Hilfeleistungen. Ich habe die Lösung von emeriks umgesetzt und es funktioniert tadellos 
Darauf hätte ich Dussel eigentlich selbst kommen müssen aber machmal ist etwas einfach zu einfach um selbst
darauf zu kommen.
@der WoWusste
Die Benutzer meines Vertrauens werden RSAT bekommen. Da können sie zwar die Struktur des AD sehen aber
nicht ändern können. Das werden Mitarbeiter aus der Geschäftsführung sein und die können und dürfen ruhig
die Struktur sehen.
Vielen Dank nochmals,
Micha
Darauf hätte ich Dussel eigentlich selbst kommen müssen aber machmal ist etwas einfach zu einfach um selbst
darauf zu kommen.
@der WoWusste
Die Benutzer meines Vertrauens werden RSAT bekommen. Da können sie zwar die Struktur des AD sehen aber
nicht ändern können. Das werden Mitarbeiter aus der Geschäftsführung sein und die können und dürfen ruhig
die Struktur sehen.
Vielen Dank nochmals,
Micha
