授予帐户对 Active Directory 用户对象上的特定属性的写访问权限

授予帐户对 Active Directory 用户对象上的特定属性的写访问权限

我正在尝试允许帐户更新所有用户对象上的非常具体的属性。我正在“用户”对象上设置此安全性。当我在安全选项卡上添加帐户时,转到高级,编辑帐户权限,并开始浏览属性列表,我只能找到一些属性,例如名字,但大多数我想让他们写入的属性都缺失了。我如何授予帐户对这些属性的写入权限?

我需要授予权限的属性:

  • 名字 (givenName)
  • 姓氏 (sn)
  • 首字母(首字母)
  • 系(部)
  • 公司(公司)
  • 标题(title)
  • 經理(經理)
  • 位置信息(物理送货办公室名称、街道地址、邮政信箱)
  • 工作电话 (电话号码)
  • 传呼机(传呼机)
  • IP 电话 (ipPhone)
  • 其他 IP 电话 (otherIpPhone)
  • 缩略图标志 (缩略图标志)
  • jpeg照片 (jpeg照片)
  • 描述(显示名称)

谢谢

答案1

虽然@sysdmin1138的回答是正确的,但值得一提的是,改变范围并不是导致视图中缺少某些内容的唯一原因。有些事情无形的默认情况下。

一些对象,例如物理送货办公室名称隐藏在视图之外,因此您无法轻松委派它们。许多其他属性也被隐藏,但 physicalDeliveryOfficeName 非常具体,可以作为委派工作原理的良好示例。

通过以下方式查看用户对象的“每个属性的权限”选项卡Active Directory 用户和计算机可能不会显示用户对象的每个属性。这是因为访问控制的用户界面会过滤掉对象和属性类型,以使列表更易于管理。虽然对象的属性是在架构中定义的,但显示的过滤属性列表存储在数据保护文件文件位于%系统根目录%\System32文件夹中。您可以编辑文件中某个对象的条目,以便通过用户界面显示已筛选的属性。

经过筛选的属性如下所示数据保护文件文件:

[User]
propertyname=7

要显示对象属性的读写权限,您可以编辑过滤器值以显示其中一个或两个权限。要显示属性的读写权限,请将值更改为零 (0):

[User]
propertyname=0

要仅显示属性的写权限,请将值更改为 1:

[User] 
propertyname=1

要仅显示属性的读取权限,请将值更改为 2:

[User]
propertyname=2

编辑 Dssec.dat 文件后,您必须退出并重新启动 Active Directory 用户和计算机才能查看不再过滤的属性。该文件也是特定于计算机的,因此在一台计算机上更改它不会更新所有其他计算机。是否希望它在任何地方都可见取决于您。

在此处输入图片描述

完整故事物理送货办公室名称以及如何通过屏幕截图进行更改可以在我的博客上阅读。

PS1. 由于 physicalDeliveryOfficeName 属于特殊情况,因此修改此设置后,请查找读/写办公地点.不幸的是名字物理送货办公室名称从未出现。

PS2. 除非通过修改 dssec.dat 来发现这些设置,否则您将无法看到它们。由于此文件是针对每台计算机的,因此完全有可能在某些计算机上可见,而在其他计算机上不可见,这取决于是否有人之前进行了更改。这可以解释为什么您之前可以看到它,而后来看不到它。

PS3。抱歉,我又重新提起这件事,但我刚刚花了几个小时试图找出原因,所以我想分享一下,以供将来参考。

答案2

我认为要获得完整列表,您必须将“应用到”更改为“用户”,而不是“此对象和所有子对象”。这会将属性选择对话框更改为包含所有这些。

答案3

转到“高级”ACL 编辑器。添加应授予权限的主体。在“[主体名称] 的权限”对话框中,转到“属性”选项卡,在“应用到:”列表中选择“用户对象”,然后从列表中选择属性和所需的权限。

我抽查了你的大部分列表并找到了我要寻找的所有内容。

相关内容