我对我发现的一个问题感到很好奇。Windows Active Directory 用户可以更改自己的电话号码、街道地址等,但不能更改自己在 AD 上注册的电子邮件地址。
使用 Python+pywin32 我也可以验证此行为。当我尝试更改自己的电子邮件地址时,我收到错误常规访问被拒绝错误。
我想知道在 AD 中哪里定义了此允许/拒绝行为。谢谢。
答案1
这完全取决于应用于您的用户对象的访问控制列表,您应该看看这些列表为您的域设置了什么。
目前看来,您已经设置了默认设置 - 用户对其“个人信息”属性集具有默认的写访问权限(其中包括telephoneNumber,请参阅这里),但他们无权写入该mail属性。
它可能默认不可写,因为 Exchange 设置并使用了它 - 在将其设置为用户可写之前,请仔细考虑它的用途。