设置用户帐户的权限

Question

我们希望锁定几个帐户，以防止甚至域管理员在不知道当前密码的情况下重置密码。根据我在权限集中所看到的，这看起来是可能的。我在这个主题上发现的任何东西都建议不要更改默认权限，但没有详细说明原因。

假设域管理保留了重置密码的能力，而不知道当前的密码，那么阻止域管理帐户上的密码重置是否合理呢？若否，原因为何？

Answer 1

使用ADSI编辑应该是可能的。(我知道你知道，但是:小心ADSI编辑)。

但这里真正的问题是，您必须能够信任“域管理员”。如果你不能信任他们重置重要帐户上的密码，你怎么能信任他们不格式化DC？

如果你想保持一些帐户的特殊，将它们移动到一个OU，并称之为"ImportantAccounts“，并告诉您的所有域管理员没有重置这些密码！

不过，您可以集中安全审核，并跟踪谁重置密码，如果您想分摊责任后，事实。