Exchange 用户具有以下属性,这是我的同事看到的:(注意锁)
- 我如何才能正确地委托这些属性的读取权限(或必须的读写权限)?
让我感到困惑的是,这些属性也存在于 AD 帐户/联系人中,但没有 GUI。我还想允许委派这些属性。
我认为我在 AD 中缺少的概念是“继承”如何工作,以及在继承情况下权限应用于何处。(Exchange 用户是 AD 用户的超集,但 Exchange 中的某些内容(例如主动同步)在 AD 用户级别不存在)。
了解如何在“交换”情况与“AD 情况”中委派权限可能是我的知识差距所在,但话又说回来,我可能错了。
答案1
您可以使用 Active Directory 用户和计算机中的委派控制向导来委派此属性的控制。
- 右键单击包含您想要委派控制权的用户帐户的 OU;选择委派控制。
- 在“欢迎使用控制委派向导”对话框中单击下一步。
- 输入您想要授予这些权限的组或用户。下一步。
- 选择“创建要委派的自定义任务”。下一步。
- 选择“仅以下对象...”并检查用户对象。下一步。
取消选中“常规”,选中“属性特定”。向下滚动,直到找到
Read extensionAttribute1 Write extensionAttribute1 Read extensionAttribute10 Write extensionAttribute10
这些是“ms-Exch-扩展-属性-XX“属性在 Exchange 中显示为 CustomAttribute1 等。
检查您想要委派控制的属性,单击“下一步”,然后单击“完成”以完成委派向导。
您可以通过首先在“查看”菜单中启用“高级功能”来查看 Active Directory 用户和计算机中的这些属性。查看 AD 用户的属性将显示一个名为“属性编辑器”的附加选项卡。单击“属性编辑器”选项卡上的“过滤器”,然后取消选中“仅显示具有值的属性”,这将显示该对象的所有可用属性,其中包括上述扩展属性 1 等。
如果您安装了 ActiveDirectory 模块,您还可以使用 PowerShell 查看和设置这些值。
看法:
Get-ADUser <username> -Properties extensionattribute1
放:
Set-ADUser <username> -Add @{"extensionattribute1"="Your Value Here"}
清除:
Set-ADUser <username> -Clear extensionattribute1