การ Delegate Reset Password / Unlock User Account
ในสถานการณ์ที่ต้องเป็นผู้ดูแลระบบ Active Directory ให้กับองค์กร มักจะเจอปัญหาเกี่ยวกับ User บ่อย ๆ เช่น
– User ถูก locked ไม่ให้เข้า Login เนื่องจากพิมพ์รหัสผ่านผิด
– User ต้องการ Reset Password
สถานการณ์ที่เจอบ่อยๆ เช่นนี้ หากผู้ดูแลระบบมัวเสียเวลามาเฝ้าระวัง หรือเป็นผู้จัดการเอง ก็จะทำให้เป็นภาระในการดูแลระบบ เราจึงสามารถ Delegate ให้กับทีมงานที่อยู่ทำงาน 24×7 ทำหน้าที่นี้แทน หรือ Delegate ให้ทีมงานฝ่าย HR เป็นผู้ดูดำเนินการแทน
ตัวอย่างการ delegate ให้ User = itsupport01 สามารถทำการ Unlock User / Reset User’s Password ในระบบได้
เป้าหมายของการลองทำ LAB นี้เพื่อสมมุตสถานการณ์ว่า User = itsupport01 เป็น User ของ Service Desk ที่คอยรับ Call จาก User เพื่อทำการปลด Lock หรือ Reset Passowrd ให้กับ User ตลอด 24×7
อ้างอิงจาก http://support.microsoft.com/kb/294952
http://support.microsoft.com/default.aspx?scid=kb;EN-US;279723
วิธีทำ
1. ที่เครื่องมือ ADUC ให้คลิกขวาที่ Domain Demo.local เลือก Delegation Control
2. กด Next เพื่อเลือก User = itsupport01 (เฉพาะในสถานการณ์จำลองนี้) การใช้งานจริงคุณสามารถเลือกเป็น User หรือ Group ก็ได้นะครับ
3. ทำการเลือก Create Custom Task to delegation แล้วเลือก Next
4. ที่ตัวเลือก Active Directory Object Type เลือกเฉพาะ user object ครับ
5. ที่ Permissions dialog box ทำการ Clear General Checkbox ก่อนนะครับ จากนั้นเลือก Property-Specific (อยู่ท้ายสุด) จากนั้นกด Next
6. ทำการเลือก Read Lockout Time และ Write Lockout Time ดูหน้าจอ Summary ก่อนกด Finish ด้วยครับ
7. จากนั้นกลับไปที่ Delegate Wizard ใหม่อีกครั้ง
8. เลือก User itsupport01 เหมือนเดิมครับ
9. จากนั้นเลือก Delegate Common Task คือ Reset user passwors and force password change at next logon
เสร็จขั้นการการทำ Delegate ให้ user = itsupport01 สามารถทำการ reset password และ ปลด lock user ได้แล้วครับ
