我已经为 Active Directory 中的用户创建了一些自定义属性,并且还创建了一个用于登录 AD 的基本帐户,以便它可以读取这些属性以及 AD 中的标准属性。
我已将用户指定为“域用户”,但该用户只能读取标准属性,而不能读取自定义属性。我需要授予该用户什么明确权限才能从 AD 读取自定义属性?
答案1
如果您查看 AD 中对象的“安全”选项卡,您会发现域用户没有任何明确权限。但是,每个用户都拥有经过身份验证的用户组和所有人组的成员身份(它们是特殊的安全主体,不是真正的组,因此无法进行管理)。如果您查看这两个组的 AD 对象权限,您将看到他们对这些对象拥有哪些权限。您可能想要做的是使用控制委派向导(范围为适当的容器或 OU)授予您的用户Read all user information。
答案2
这高度依赖于您的 AD 设置并最终对继承等进行定制。
确保能够读取属性的用户/组在目标节点上被授予此访问权限(直接访问或通过继承可能更好)。要设置访问权限,请转到广告中所需的节点(例如 OU),并为所需用户/组添加相关属性的读取访问权限(通过目标上的安全设置)。