Разрешение на изменение паролей без регистрации в домене


Если в домене Windows в отношении паролей применяется системная политика и все или некоторые учетные записи пользователи размещены в Active Directory (AD) с помощью инструмента AD Migration, то пользователи, пытающиеся изменить свой пароль при отображении сообщения PasswordChangeNotification, получат следующее сообщение об ошибке:

You do not have permissions to change your password.

Пользователи, отказавшиеся менять пароль при появлении соответствующего уведомления (путем щелка на кнопке Нет (No)), регистрируются в системе с помощью старого пароля, после чего получают возможность обычным образом сменить собственный пароль.

Описанная проблема возникает в ситуациях, когда группе Все (Everyone) не предоставлено право менять пароль пользовательских объектов. Следовательно, пользователям запрещено менять собственный пароль при нулевом сеансе связи (при котором для анонимной регистрации используется группа Все (Everyone)) между рабочей станцией и контроллером домена. Вместо этого для изменения пароля необходимо установить аутентифицированное соединение (пользователь должен зарегистрироваться в системе перед тем, как менять собственный пароль).

Для того, чтобы изменить разрешения доступа для группы Все (Everyone), выполните следующие действия.

  1.  Откройте оснастку Active Directory — Пользователи и компьютеры (Active Directory — Users and Computers) (Пуск > Настройка > Администрирование > Active Directory — Пользователи и компьютеры (Start > Settings > Administrative Tools > Active Directory — Users and Computers)).

  2.  Перейдите в меню Вид (View) и выберите опцию Дополнительные функции (Advanced Features).

  3.  Щелкните правой кнопкой на контейнере, который содержит пользовательский объект, требующий разрешения на изменение пароля (например, контейнер Users). Выберите из контекстного меню опцию Свойства (Properties).

  4.  Перейдите на вкладку Security. Удостоверьтесь, что группа Все (Everyone) указана в списке Name. Если это не так, щелкните на кнопке Advanced и добавьте группу Все (Everyone) в список диалогового окна Advanced Access Control Settings. Если группа Все
(
Everyone) входит в список, щелкните на кнопке Advanced.

  5.  Щелкните на группе Все (Advanced), после чего выберите команду View/Edit
для редактирования разрешений для группы. В поле Apply Onto щелкните на опции User Object. В разделе Permissions
установите флажок Allow для строки Change Password.

  6.  Щелкните на кнопке OK.

Оставьте комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *