Security

授予帳戶對 Active Directory 使用者對像上特定屬性的寫入權限

  • August 17, 2016

我試圖允許一個帳戶更新所有使用者對象的非常具體的屬性。我在“使用者”對像上設置此安全性。當我在安全選項卡上添加帳戶時,轉到高級,編輯帳戶權限,然後開始瀏覽屬性列表,我只能找到一些屬性,比如名字,但大多數屬性我想讓他們寫到失去。如何授予帳戶對這些屬性的寫入權限?

我需要授予以下權限的屬性:

  • 名字(給定名稱)
  • 姓氏 (sn)
  • 縮寫(縮寫)
  • 部門(部門)
  • 公司(公司)
  • 標題(標題)
  • 經理(經理)
  • 位置資訊(physicalDeliveryOfficeName、streetAddress、postOfficeBox)
  • 工作電話(電話號碼)
  • 尋呼機(尋呼機)
  • 網路電話 (ipPhone)
  • IP電話其他(otherIpPhone)
  • ThumbnailLogo (thumbnailLogo)
  • jpeg照片 (jpeg照片)
  • 說明(顯示名稱)

謝謝

雖然@sysdmin1138 的回答是正確的,但值得一提的是,更改範圍並不是視圖中缺少內容的唯一原因。預設情況下有些東西是不可見的。

某些對象(例如physicalDeliveryOfficeName)隱藏在視圖中,因此您無法輕鬆委派它們。許多其他屬性也被隱藏了,但physicalDeliveryOfficeName 是非常具體的,可以作為委託的工作方式的一個很好的例子。

您通過Active Directory 使用者和電腦查看的使用者對象的每個屬性權限選項卡可能不會顯示使用者對象的每個屬性。這是因為訪問控制的使用者界面會過濾掉對象和屬性類型,以使列表更易於管理。雖然對象的屬性是在架構中定義的,但顯示的篩選屬性列表儲存在Dssec.dat文件中,該文件位於所有域控制器上的**%systemroot%\System32文件夾中。**您可以編輯文件中對象的條目,以通過使用者界面顯示過濾後的屬性。

Dssec.dat文件中的過濾屬性如下所示:

[User]
propertyname=7

要顯示對象屬性的讀取和寫入權限,您可以編輯過濾器值以顯示其中一項或兩項權限。要顯示屬性的讀取和寫入權限,請將值更改為零 (0):

[User]
propertyname=0

要僅顯示屬性的寫入權限,請將值更改為 1:

[User] 
propertyname=1

要僅顯示屬性的讀取權限,請將值更改為 2:

[User]
propertyname=2

編輯 Dssec.dat 文件後,您必須退出並重新啟動 Active Directory 使用者和電腦才能查看不再篩選的屬性。該文件也是特定於機器的,因此在一台機器上更改它不會更新所有其他機器。您是否希望它在任何地方都可見,這取決於您。

在此處輸入圖像描述

有關physicalDeliveryOfficeName以及如何通過螢幕截圖更改它的完整故事可以在我的部落格上閱讀。

PS1。由於 physicalDeliveryOfficeName 是特殊情況,因此在修改此設置後查找Read/Write Office Location。不幸的是,physicalDeliveryOfficeName這個名字從未出現過。

PS2。除非通過修改 dssec.dat 發現這些設置,否則您將無法看到它們。由於此文件是每台電腦的,因此它完全有可能在某些電腦上可見,而在其他電腦上不可見,具體取決於是否有人較早進行了更改。這可以解釋為什麼你可以在之前而不是之後看到它。

PS3。很抱歉復活,但只是花了幾個小時試圖找到原因,所以我想我會分享它以供將來參考。

引用自:https://serverfault.com/questions/151919