我正在调整 Active Directory / MyDomain / Users 对象上的用户的高级权限,并发现了大量可能被授予/拒绝的权限列表。
其中很多是针对 msExchange 的,我以为它已经被完全删除了。
有没有办法从列表中删除所有这些不必要的 Exchange 相关权限?权限太多了,我花很长时间才找到真正需要授予的权限。
我尝试过搜索,但所有结果都只是有关授予/拒绝权限的说明,而不是编辑可能的权限列表。
任何帮助将不胜感激!
答案1
您可以通过编辑架构对象(CN=Schema, CN=Configuration, <baseDN>更改isDefunct为TRUE)或取消选中 AD 架构 MMC 控制台中的“属性处于活动状态”来隐藏单个属性类型的权限。(AD 不支持在添加属性类型后将其从架构中删除,因此将其标记为无效是您可以获得的最接近的方法。)
您可能能够通过编辑其目录对象来隐藏权限组(扩展权限),例如“读取远程访问信息” CN=Extended-Rights, CN=Configuration, <baseDN>- 将其validAccesses属性从 48(16 = 读取 + 32 = 写入)更改为 0。虽然可以完全删除扩展权限,但这样做可能不是一个好主意(至少只要任何属性类型架构条目通过其attributeSecurityGUID属性引用它)。