Членство в группе безопасности Администраторы домена (Domain Admins) необходимо для сброса пароля доменным администраторам, которыми должен управлять Indeed PAM. Если конечные пользователи не должны получать привилегии администратора домена, а Indeed PAM не должен управлять этими учётными записями, то потребуется выполнить делегирование прав на сброс пароля для определённых контейнеров или домена в целом. - Запустите оснастку Active Directory - пользователи и компьютеры (Active Directory Users and Computers).
- Откройте контекстное меню контейнера или подразделения.
- Выберите пункт Создать (Create) - Пользователь (User)
- Укажите имя, например, IPAMADServiceOps
- Заполните обязательные поля и завершите создание учётной записи.
- Откройте контекстное меню контейнера, подразделения или корня домена.
- Выберите пункт Свойства (Properties)
- Перейдите на вкладку Безопасность (Security)
- Нажмите Добавить (Add)
- Выберите учётную запись IPAMADServiceOps и нажмите Ок
- Нажмите Дополнительно (Advanced)
- Выберите учётную запись IPAMADServiceOps и нажмите Изменить (Edit)
- Установите для поля Применяется к: (Applies to:) значение Дочерние объекты: Пользователь (Descendant User objects)
- В разделе Разрешения: (Permissions:) отметьте Сброс пароля (Reset password)
- Сохраните внесённые изменения
|