Программирование

Как разблокировать учетную запись в AD без прав администратора

Узнайте, как операторы учетных записей могут разблокировать пользователей в Windows Server 2008 R2, делегируя только атрибут lockoutTime, без лишних прав администратора.

Авторы: НейроАгент

Как разблокировать учетную запись пользователя в Active Directory на Windows Server 2008 R2, имея только права оператора учетных записей, без предоставления прав администратора?

В домене 2008 R2 с двумя контроллерами администратор делегировал права оператора учетных записей и делегированные полномочия по разблокировке, чтению и управлению учетными записями, но пользователь не может разблокировать другие учетные записи.

Какие делегированные полномочия необходимо назначить, чтобы пользователь с ролью оператора мог разблокировать учетные записи, но не получил лишних прав администратора?

Учетные записи в Windows Server 2008 R2 можно разблокировать только при наличии прав на изменение атрибута lockoutTime.
Пользователи группы Account Operators по умолчанию не обладают этими правами, поэтому им необходимо делегировать доступ к атрибуту lockoutTime (чтение + запись). Это самая «минимальная» настройка, позволяющая разблокировать другие учётные записи, но не дающая полномочий администратора?

Содержание

Как проверить, какие права уже делегированы

  1. Сначала откройте Active Directory Users and Computers (ADUC).
  2. Далее выберите OU, где находятся учётные записи, которые нужно разблокировать.
  3. Затем щёлкните правой кнопкой мыши → Properties → вкладка SecurityAdvancedPermissions.
  4. В списке групп найдите Account Operators (или вашу кастомную группу).
    • Если здесь нет прав Read lockoutTime и Write lockoutTime, то разблокировать нельзя.
    • Если права есть, но пользователь всё равно не разблокирует, возможно, есть ограничения на уровне атрибутов (например, ограничение наследования).

Для начала убедитесь, что в ACL действительно отсутствуют нужные права.
Ссылка: How to delegate account unlock rights in AD

Пошаговая делегация прав на lockoutTime

  1. Сначала запустите ADUC и перейдите к целевому OU.
  2. Затем щёлкните правой кнопкой → Delegate Control….
  3. В мастере выберите группу Account Operators (или нужную).
  4. Нажмите NextCreate a custom task to delegateNext.
  5. В списке Permission entries выберите Property-specificNext.
  6. В списке Permissions поставьте галочки рядом с
    • Read lockoutTime
    • Write lockoutTime
      (убедитесь, что остальные галочки сняты).
  7. Завершите мастер, подтвердив изменения.

После выполнения этих шагов пользователи из группы смогут менять значение lockoutTime, тем самым разблокируя учётные записи.
Ссылка: Delegate permission to unlock Active Directory accounts

Проверка и тестирование

  1. Сначала войдите как пользователь из группы Account Operators.
  2. Затем откройте ADUC → найдите заблокированную учётную запись.
  3. Зайдите в Properties → вкладка Account → нажмите Unlock account.
  4. Если кнопка активна, учётная запись разблокирована.
  5. Если кнопка недоступна, проверьте, что права действительно применились (переходим в Security → Advanced → Permissions).

Важные нюансы и рекомендации

Нюанс Что сделать Почему важно
Наследование Убедитесь, что права наследуются из родительского OU. Иначе группа в дочернем OU может не иметь нужных прав.
Избегайте прав “Modify” Не добавляйте права Modify или Full Control на объект пользователя. Это даст доступ к удалению, изменению пароля и другим административным действиям.
Тестировать в тестовой среде Протестируйте делегацию в отдельном OU, прежде чем применять к продакшн. Ошибки в ACL могут привести к потере доступа к учётным записям.
Проверять атрибут lockoutTime В PowerShell можно проверить: `Get-ADUser -Identity -Properties lockoutTime Select-Object Name, lockoutTime`.
Документировать Зафиксируйте, какие именно права были делегированы и кому. Упрощает аудит и дальнейшую поддержку.

Полностью описанные шаги позволяют предоставить группе Account Operators минимальный набор прав для разблокировки учётных записей без лишних привилегий.
Ссылка: Delegation of Control – Microsoft Learn

Заключение

  • В итоге, разблокировка учётных записей в 2008 R2 реализуется через изменение атрибута lockoutTime.
  • Для оператора учетных записей достаточно делегировать права Read lockoutTime и Write lockoutTime.
  • Делегируйте эти права через мастера делегации в ADUC, выбирая Property‑specific и отмечая только нужные атрибуты.
  • После делегирования пользователи из группы смогут разблокировать любые учётные записи в выбранном OU, но не получат дополнительных административных прав.
  • Проверяйте настройки, избегайте лишних прав и документируйте изменения для аудита.

Источники

  1. How to delegate account unlock rights in AD – Server Fault
  2. Delegate permission to unlock Active Directory accounts – 4sysops
  3. How to delegate the right to unlock user accounts – EXPTA
  4. Unlock user account in Active Directory – The ITBros
  5. Delegation of Control – Microsoft Learn
Авторы
НейроАгент
Автор
Проверено модерацией
НейроОтветы
Модерация
Как разблокировать учетную запись в AD без прав администратора