Инструкция по выдаче ограниченных прав на управление паролями пользователей в домене MS AD

Для работы модуля синхронизации учетная запись домена MS AD, под которой устанавливаются отношения синхронизации, должна обладать правами на управление паролями пользователей, которые, по умолчанию, имеются у администраторов домена. В случае невозможности или нежелательности работы модуля синхронизации под учетной записью администратора домена допускается выдача ограниченных прав на учетную запись. Для этого:

  1. На контроллере домена MS AD необходимо запустить оснастку “Active Directory - пользователи и компьютеры”.

../../../_images/limited_rights_1.png

  1. Выбрать OU корень домена и открыть “Делегирование управления”.

../../../_images/limited_rights_2.png

  1. В открывшемся окне “Мастер делегирования управления”, после нажатия кнопки [Далее] необходимо указать учетную запись пользователя, которой выдаются права.

../../../_images/limited_rights_3.png
../../../_images/limited_rights_4.png
../../../_images/limited_rights_5.png
../../../_images/limited_rights_6.png

  1. Выбрать права для делегирования: Создание, удаление и управление учетными записями пользователей.

../../../_images/limited_rights_7.png

  1. Нажать кнопку [Готово].

../../../_images/limited_rights_8.png

Права выданы.

Примечание

В зависимости от версии домена MS AD набор делегируемых задач может отличаться.