为sailpoint服务帐户分配权限的问题

Question

我的任务是构建一个sailpoint服务帐户，而不给它分配域管理权限。

我已将父OU的控制权委托给服务帐户，并将下列权限分配给该帐户

• 读取所有属性
• 宣读成员
• 写所有属性
• 写成员

但是，当我们试图重置子OU中的密码时，我们会被拒绝许可。

我是不是遗漏了什么？

Answer 1

Greg的回答对于需要委派的Reset Password权限是正确的，他们应该得到答案，但是如果不是批量操作，我会提供一些更简单的选项。

首先，我建议创建一个AD组，将权限委托给-例如。"StaffPasswordReset“之类的。您可能希望授予其他用户或组相同的权限，当您添加其他用户或组时，它会阻止您的ACL变得混乱。

到目前为止，有三个主要选项(除了脚本)可以授予权限，首先是最简单的。

1. 右键单击OU并在OU上运行Delegate Control向导。实际上，第二个预先配置的选项是Reset User Passwords and Force Password Change at next logon。选择要将权限委托给的帐户或组，然后完成。
2. 在ADSIEdit中，或者在启用高级视图的AD用户和计算机中，可以将Reset Password授予OU安全选项卡上的用户或组。
3. 或者您可以使用DSACLS，它仍然比Powershell方法容易得多。dsacls "OU=OUName,dc=example,dc=com" /I:S /G "[mydomain\delegate]:CA;Reset Password";user

注意:对于选项2和3，因为您已经为用户分配了Write All Properties (大概是给用户)，这就足够了。对于选项1，向导设置重置所需的所有权限。

但是，如果您只想委派密码重置，并且不想授予“写所有属性”，则还需要添加向用户PwdlastSet和lockoutTime属性写入的权限(以及授予Reset Password)。同样，无论是在OU的Security选项卡中还是使用DSACLS

dsacls "OU=OUName,dc=example,dc=com"  /I:S /G "[mydomain\delegate]:rpwp;PwdlastSet";user
dsacls "OU=OUName,dc=example,dc=com" /I:S /G "[mydomain\delegate]:rpwp;lockoutTime";user

注2：Write Member是关于授予添加/删除组成员的权限。这是必需的吗？您有与用户相同的OU(或在同一父OU下)的组吗？如果没有，我建议单独授权。