是否可以在 Active Directory 2008 OU 中委派控制,以便标准用户能够更新计算机对象的网络地址属性?
我有一个登录脚本,可以查询 WMI 以获取计算机的系统制造商、产品名称、序列号和 MAC 地址,并将信息保存回活动目录;对于管理员来说,该脚本运行良好。
通过将选定计算机属性的控制权委托给标准用户,可以使脚本允许任何人将系统制造商、产品名称和序列号保存到活动目录,但我找不到任何方法使 networkAddress 属性可写;它没有在计算机对象(或任何其他类)中列为可写属性。
是否有我应该寻找以委托的替代属性名称或类?
答案1
这networkAddress 属性用于存储 TCP/IP 网络的子网,而不是 MAC 地址。您最好将此信息存储在其他属性中。(您使用什么属性来存储制造商、产品和序列号?通常我使用“sn”、“givenName”和“title”,因为这些是“computer”类的有效属性,但计算机不使用它们。)
另外:从安全角度来看,最好使用启动脚本而不是登录脚本来执行此操作。您可以委派域计算机而不是用户访问更新目录中的属性。假设您的用户在 PC 上没有管理员权限,您将获得一定程度的信任,因为非管理员用户无法轻易冒充计算机的帐户。