[2003] Delegate probleem

Ik heb op een OU in onze AD het beheer overgedragen aan een user.
Volgens deze (\[200X] HOWTO: Delegeer rechten over een OU) handleiding.

Nu heb ik adminpack van 2003 geïnstalleerd op de computer van deze gebruiker. Maar hij kan alleen zijn eigen wachtwoord resetten, en niet die van andere, terwijl het beheer over gedragen is op de bovenste OU.

Nu heb ik op internet gezocht, en gevonden dat je mogelijk de gebruiker, server operator moet maken. Dit heb ik gedaan, maar dat helpt niet. Wanner ik de gebruiker Account operator maak, kan hij ineens al zijn eigen gegevens aanpassen maar nog steeds niets van andere.

Ik begrijp niet waar dit aan ligt

Edit
Ben erachter gekomen dat wanneer bestaande gebruikers willen aanpassen dit niet gaat, en wanneer er een nieuwe gebruiker wordt aangemaakt dat deze account dat wel kan.

[ Voor 12% gewijzigd door winux op 04-09-2008 12:54 ]

pennenlikker schreef op donderdag 04 september 2008 @ 13:30:
Probeer het eens met een groep, maak een groep aan bijvoorbeeld delegate control 'piet'oid. en maak de gebruiker daar eens lid van windows kennende zou dat wel eens de oplossing kunnen zijn.
En een wat minder handige manier is gewoon de gebruiker weggooien, en opnieuw aanmaken zodat ie een nieuwe sid toegewezen krijgt.

Groep aangemaakt, maar dit helpt ook niet.
Gebruiker verwijdert, maar helpt niet.

DeeJee schreef op donderdag 04 september 2008 @ 13:42:
Kijk eens naar de security op de users die deze gebruiker zou mogen wijzigen. Staat daar de gebruiker met de delegated rechten tussen?

Die staan inderdaad wel bij en staat bij dat hij wachtwoord mag wijzigen, en het wachtwoord opnieuw mag instellen. Wat ik ook raar vind, waarom zijn er 2 omschrijvingen voor 1 hetzelfde iets.

sanfranjake schreef op donderdag 04 september 2008 @ 13:47:
Zijn dit misschien gebruikers die administrator zijn, of lid zijn van een ander "well known security principal" ? Dan verwijdert de directoryservice automagisch deze opties weer http://technet.microsoft.com/en-us/library/cc755854.aspx

Het zijn geen administrators of andere hogere functies. Ik ga de lijst wel doorspitten.

Ik heb nog lopen zoeken op internet en kom overal tegen dat het gewoon via de delegate wizard heel simpel zou moeten kunnen, maar waarom niet bij ons

Edit

Naar nu blijkt dat er een aantal accounts zijn die wel gereset kunnen worden en een aantal niet.

Kan dit misschien te maken hebben met repliceren van de server?

Edit 2

Ik krijg sterk het vermoeden dat de accounts die niet werken, accounts zijn die zijn gemigreerd van windows 2000 indertijd.
Werkte in windows 2000 delegate control anders als in wnidows 2000?

[ Voor 24% gewijzigd door winux op 04-09-2008 14:56 ]

sanfranjake schreef op donderdag 04 september 2008 @ 15:44:
Ik kan me dit soort gekkigheden nog wel herinneren van Windows 2000, of dat by design was weet ik niet... Misschien kan je de SID's eens vergelijken.

Misschien hele stomme vraag hoor, maar waar kan ik die SID's vinden om te vergelijken?

sanfranjake schreef op donderdag 04 september 2008 @ 15:57:
[google=sid user] ofzoiets? Kan je toch zelf ook wel bedenken

Ik heb de SID vergeleken, maar zijn naar mijn inziens hetzelfde. Is er ergens een lijst bekend wat de instellingen/parameters van elke attributen