Berechtigung zum Passwortreset für ausgewählte Domänenbenutzer vergeben
Hallo,
bei uns im Unternehmen kommt es leider öfters vor das User ihr Passwort vergessen oder zu oft falsch eingeben. Ich (Administrator) bin auch ab und an mal im Urlaub und bin nicht zu erreichen.
Nun würde ich gerne einen bestimmten Benutzer die Rechte erteilen das er Passwörter zurück setzen kann. Um dies zu bewerkstelligen gehe ich wie folgt vor:
Ich erstelle in dem AD eine Ou , darin eine Gruppe xy. Nun erteile ich in der Objektverwaltung der OU der Gruppe xy das Recht "Setzt Benutzerkennwörter zurück..."
Als nächtes füge ich der Gruppe xy den Benutzer meines Vertrauens zu. So weit, so gut. Wenn der Benutzer nun versucht ein Passwort zurück zu setzen bekommt er folgende Meldung:
"Das Kennwort für xy kann aufgrund folgenden Problems nicht geändert werden: Zugriff verweigert"
Ich gehe mal davon aus das ich irgendwo eine Berechtigung vergessen habe, habe im Netz aber keine Lösung gefunden.
Kann mir bitte jemand einen Hinweis geben woe mein Fehler liegt?
Das Betriebssystem ist Windows Server 2016.
Vielen Dank im voraus,
Micha
bei uns im Unternehmen kommt es leider öfters vor das User ihr Passwort vergessen oder zu oft falsch eingeben. Ich (Administrator) bin auch ab und an mal im Urlaub und bin nicht zu erreichen.
Nun würde ich gerne einen bestimmten Benutzer die Rechte erteilen das er Passwörter zurück setzen kann. Um dies zu bewerkstelligen gehe ich wie folgt vor:
Ich erstelle in dem AD eine Ou , darin eine Gruppe xy. Nun erteile ich in der Objektverwaltung der OU der Gruppe xy das Recht "Setzt Benutzerkennwörter zurück..."
Als nächtes füge ich der Gruppe xy den Benutzer meines Vertrauens zu. So weit, so gut. Wenn der Benutzer nun versucht ein Passwort zurück zu setzen bekommt er folgende Meldung:
"Das Kennwort für xy kann aufgrund folgenden Problems nicht geändert werden: Zugriff verweigert"
Ich gehe mal davon aus das ich irgendwo eine Berechtigung vergessen habe, habe im Netz aber keine Lösung gefunden.
Kann mir bitte jemand einen Hinweis geben woe mein Fehler liegt?
Das Betriebssystem ist Windows Server 2016.
Vielen Dank im voraus,
Micha
Kommentieren
Teilen
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 351548
Url: https://administrator.de/forum/berechtigung-zum-passwortreset-fuer-ausgewaehlte-domaenenbenutzer-vergeben-351548.html
Ausgedruckt am: 25.04.2025 um 09:04 Uhr
4 Kommentare
Neuester Kommentar
Hi,
richtiger Ansatz.
Nur, der Benutzer hat dann nur das Recht, Kennwörter von Benutzern unterhalb dieser OU zu ändern.
Mach es mal so:
- Hilfs-Admin-Benutzer kann in OU sein egal wo
- Hilfs-Admin-Gruppe kann in OU sein egal wo
- Hilfs-Admin-Benutzer ist Mitglied in Hilfs-Admin-Gruppe
- Hilfs-Admin-Gruppe erteilst Du Objektverwaltung "Setzt Benutzerkennwörter zurück..." auf jener OU, unter welcher die betreffenden Benutzerobjekte gespeichert sind, deren Kennwörter er zurücksetzen darf.
E.
richtiger Ansatz.
Nur, der Benutzer hat dann nur das Recht, Kennwörter von Benutzern unterhalb dieser OU zu ändern.
Mach es mal so:
- Hilfs-Admin-Benutzer kann in OU sein egal wo
- Hilfs-Admin-Gruppe kann in OU sein egal wo
- Hilfs-Admin-Benutzer ist Mitglied in Hilfs-Admin-Gruppe
- Hilfs-Admin-Gruppe erteilst Du Objektverwaltung "Setzt Benutzerkennwörter zurück..." auf jener OU, unter welcher die betreffenden Benutzerobjekte gespeichert sind, deren Kennwörter er zurücksetzen darf.
E.
Hi Micha.
Wie macht der "Nutzer Deines Vertrauens" das? Nutzt er RSAT? Wurde die mmc mit ADUC elevated gestarted?
Wie macht der "Nutzer Deines Vertrauens" das? Nutzt er RSAT? Wurde die mmc mit ADUC elevated gestarted?
Vielen Dank für eure Hilfeleistungen. Ich habe die Lösung von emeriks umgesetzt und es funktioniert tadellos 
Darauf hätte ich Dussel eigentlich selbst kommen müssen aber machmal ist etwas einfach zu einfach um selbst
darauf zu kommen.
@der WoWusste
Die Benutzer meines Vertrauens werden RSAT bekommen. Da können sie zwar die Struktur des AD sehen aber
nicht ändern können. Das werden Mitarbeiter aus der Geschäftsführung sein und die können und dürfen ruhig
die Struktur sehen.
Vielen Dank nochmals,
Micha
Darauf hätte ich Dussel eigentlich selbst kommen müssen aber machmal ist etwas einfach zu einfach um selbst
darauf zu kommen.
@der WoWusste
Die Benutzer meines Vertrauens werden RSAT bekommen. Da können sie zwar die Struktur des AD sehen aber
nicht ändern können. Das werden Mitarbeiter aus der Geschäftsführung sein und die können und dürfen ruhig
die Struktur sehen.
Vielen Dank nochmals,
Micha
