我正在尝试委派服务帐户的权限以修改 Active Directory 用户帐户上的单个扩展属性。该属性是msDS_CloudExtensionAttribute1。
我们的 AD 用户对象具有此属性,因此很容易在 OU 级别委派适当的权限。但是,受保护的用户帐户(例如域管理员)的权限不断被 SDPropagator 任务重置。
为了解决这个问题,我需要通过修改活动目录中的 AdminSDHolder 对象来更正应用于受保护帐户的权限。此对象没有该属性msDS_CloudExtensionAttribute1。因此,我无法为该对象上的此属性提供写入权限。
如何将缺失的属性添加到这个特定的 AD 对象,以便我可以在其上设置权限,并将其复制到受保护的用户帐户?
答案1
为了做到这一点,我必须使用 Active Directory Schema MMC。
打开后,导航到Classes然后右键单击container。选择properties。
在Attributes选项卡下,Add缺少属性/特性并应用。
关闭并重新打开 Active Directory 用户和计算机,对象AdminSDHolder现在将具有新属性。此后,我能够委派权限来写入此属性,然后允许 SD Propagator 任务更新所有受保护的帐户以解决我的问题。
应用架构更改后,MMC 出现错误并崩溃。但是,当我返回架构 MMC 时,新属性按预期出现。