如何将解锁其他用户账户的权限授予给指定用户

    场景

    昨天论坛一会员朋友加我QQ，向我支招，询问在Windows Server 2003域中，是否可以将为其他用户解锁的权限授予给一指定的域用户，因为其所在公司有账户锁定策略和长密码的要求，所以导致很多员工经常锁定了自己的账号，同时由于其公司安全级别要求较高，不答应该域用户更高的权限，例如为其他用户修改密码的权限，有且只希望有解锁其他用户的权利。该会员曾尝试通过委派来控制，但是没有找到现成的解锁权限。

    解决方法

    首先，可以肯定的是2003AD能够轻松满足这位朋友的要求，方法是使用委派控制向导或者使用编辑安全ACL的方法。其实在这个问题中，我们只要把握住一个要害点就可以了：控制用户账户锁定状态的属性是LockoutTime。只要指定的用户有对其他用户的这个属性值有修改权限就行了。知道这一点后，再结合我们经常使用的委派向导或者编辑安全ACL就可以很轻易实现了。这里我以将为大家演示，如何通过两种方法将解锁的权限赋予给用户alice@a.com 　　  方法一：修改安全ACL
    1.  如图1，alice用户在默认情况下没有解锁其他用户bob的权限。
    2.  在域控制器上打开“活动目录用户和计算机”，选择“查看”?”高级功能”
    3.  然后在域名a.com上右击属性，打开属性框，如图2
    4.  定位到“安全”选项卡，点击“高级”，弹出“高级安全设置”，在“权限”选项卡点击“添加”，输入alice用户，如图3
    5.  在如图4中，选择“应用到用户对象”，然后将“写入LockoutTime”权限设置为答应即可。
    6.  再次尝试用alice用户为bob解锁，发现“账户已锁定”前面的复选框不再是灰色不可选状态，如图5。这就证实alice用户此时的确拥有了为bob解锁的权限。

  　　   方法二：使用委派控制向导
    1.  打开“活动目录用户和计算机”，在域名a.com上右击属性，选择“委派”控制打开委派控制向导，如图6
    2.  点击“下一步“，”添加”alice用户，如图7
    3.  如图8中，选择“创建自定义任务”去委派，因为“委派下列常见任务”不足以满足我们的需求。
    4.  因为对安全要求较高，不能委派其他权限给alice，所以我们在如图9中点击“只是在这个文件夹中的下列对象”，并只勾选“用户对象”，点击“下一步”
    5.  如图10中，去掉“常规”的勾选，选择“特定属性”，然后勾选“写入LockoutTime”，点击”下一步”、“完成”即可。（所有的属性中并不包含现成的解锁一项，所以论坛的这位朋友难怪会找不着。）
    6.  至此，已经通过委派控制的方式达到了我们的目的。其实，这两个方法本质上都是一样的，方法一简单快速，方法二更加人性化，比较适合初学者。