我有一个 Active Directory 域中的用户帐户。尽管此用户帐户具有读取个人信息和填写个人信息权限设置,当以此用户身份登录时,我无法更改他们的名字或姓氏。
权限实际访问什么读取个人信息和填写个人信息是否有任何简单的方法可以找出任何“一般”权限(即任何不属于读取/写入 thisAndThat 属性)?
DC 是一台 Windows 2012 机器,我正在使用Active Directory 用户和计算机(dsa.msc)来自 Windows 7 SP1。
答案1
根据这文章中,这些权限会影响以下属性:
streetAddress
homePostalAddress
assistant
info
country/region name
facsimileTelephoneNumber (fax number)
International-ISDN-Number
Locality-Name
MSMQ-Digests
mSMQSignCertificates
Personal-Title
Phone-Fax-Other
Phone-Home-Other
Phone-Home-Primary
otherIpPhone
ipPhonenumber
primaryInternationalISDNNumber Phone-ISDN-Primary
Phone-Mobile-Other (otherMobile)
Phone-Mobile-Primary
Phone-Office-Other (otherTelephone)
Phone-Pager-Other
Phone-Pager-Primary
physicalDeliveryOfficeName
thumbnailPhoto (Picture)
postalCode
preferredDeliveryMethod
registeredAddress
State-Or-Province-Name
Street-Address
telephoneNumber
teletexTerminalIdentifier
telexNumber
primaryTelexNumber
userCert
User-Shared-Folder
User-Shared-Folder-Other
userSMIMECertificate
x121Address
X509-Cert
该用户的姓名未包含在该列表中,因此这些不是应授予的适当权限。您可以在“一般信息”类别下找到该姓名。
答案2
以下是一般的(相当低级的)答案:
属性集存储在下CN=Extended-Rights,CN=Configuration,{domain};可读/可写属性集在属性中设置了第五位(16,读)和/或第六位(32,写)validAccesses。
CN=Schema,CN=Configuration,{domain}任何属性(设置objectClass为下的任何对象attributeSchema)如果是属性集的一部分,则其attributeSecurityGUID属性设置为属性集的rightsGuid值。显然,一个属性一次只能属于一个属性集。
谢谢弥敦道为我指明了正确的方向!