我正在尝试在 Active Directory (2008R2) 中设置自定义属性集,但似乎无法弄清楚如何根据该集应用权限。更具体地说,我们需要添加许多新属性(25 个以上),并且多个流程/部门需要读取/写入特定属性。此外,一些属性将包含机密信息。
为了简化权限 {阅读保持 dacls 列表更短},我想创建几个自定义属性集并将权限应用于这些属性集 {类似于常规信息} 如果属性有助于机密信息,我将设置属性 searchflag 为 128 {頁面位元然后可以通过具有读取访问权限的组添加读取权限{通过 ldp}
我有习惯属性集配置完毕,它们看起来不错。问题是,当我打开 ldp.exe 设置 ace 时,我没有看到它们列在 propset 或控制访问权限下。我们过去曾使用这种方法来设置属性,效果很好,唯一的缺点是 dacls 列表在有这么多属性的情况下会变得有点笨拙。
任何想法都将受到赞赏。
答案1
属性集在 AD 用户和计算机中可用。我认为你必须拥有高级功能从开启看法菜单。打开容器的属性,选择安全并点击先进的按钮。添加或编辑 ACE 时,点击特性选项卡。这将首先列出所有属性集,然后列出各个属性。
在 LDP 中右键单击容器并选择高级 > 安全描述符。单击“确定”以接受您刚选择的对象的 DN。LDP 的奇怪之处在于添加 ACE和編輯 ACE按钮不可用,直到您选择现有 ACE 之一。但从该对话框中,属性集列在对象类型落下。
如果您要创建新属性和新属性集,还需要记住的一点是,属性集通过架构链接到属性。因此,现有对象在使用类似以下方法与架构更新同步之前无法使用此功能ldap修改。
答案2
您可能知道,属性集是在 Schema 中定义的。定义它们时,您应该确保已正确且完整地定义它们,这意味着您还应确保在从 Schema 中枚举属性集列表时 GUI 客户端使用的 UI 相关属性已正确指定。
我建议再看一下您的属性集描述,以确保 UI 相关属性也定义正确。一旦正确定义,任何正确开发的 AD 感知客户端都应该能够向您显示这些属性集。