AD帐号属性灰色不能修改--解决办法

前言：由于公司集团有许多分支据点分布在各地区，各据点之间有自己独立的域，现在发展需要各据点之间进行网络的连通采用统一的域，于是有各据点都需要在原来的旧域迁移到新域，在过渡期间新旧域并行，两域之间帐号信息及属性通过工具由旧域同步到新域。管理方式: 由于新域由总公司统一管理，各据点之间没有分配域管理员权限，只有对自己据点对应的OU管理权限（以下称OU管理员）。现象：在新域上发现有某一些帐号（是在自己对应的OU下）属性是灰色的“OU管理员”无法进行修改，只有域管理员能修改。调查发现帐号属性“Security”->"Advanced" 下“OU管理员”的帐号并没有继承父权限，通知域管理员把“OU管理员”帐号权限从父继承下来此时属性可以修改了，但过了一段时间新旧域同步后又变回灰色。


解决办法：经过一翻调查后发现灰色的帐号在旧域里都是隶属于域管理员组，回到旧域先把隶属管理员组移除，在新域上发现帐号属性的“Attribute Editor”选项卡下的“adminCount”的值为“1”,如下图，需要清除，但在这里清除也是不行的。



在新域上通过域管理员权限的帐号，打开 "ADSI Edit"，定位到灰色的帐号，帐号属性







清除此值




然后点击旁边的“Security”->"Advanced" ,继承父权限钩上，至此问题解决了。