No Active Directory, como delego permissões de gravação em atributos específicos de contas de usuário protegidas?

7

Temos uma ferramenta em desenvolvimento que manterá atributos específicos de objetos de usuário do Active Directory atualizados com uma fonte autorizada de informações sobre funcionários em outros lugares, para que quando o número de telefone ou gerente ou local de alguém mudar, o Active Directory seja atualizado automaticamente.

Para usuários normais, a delegação de manipulação para essas propriedades é simples de usar usando as ferramentas de delegação, mas os usuários protegidos, que têm o adminSDHolder ACL aplicado, são mais difíceis.

Ao adicionar uma ACE à adminSDHolder ACL usando a interface do usuário, você só pode conceder acesso a todas as propriedades (que não queremos por motivos de segurança) ou propriedades que existem no objeto adminSDHolder próprio - não propriedades do usuário como department .

Como você concede acesso a propriedades específicas de objetos de usuário sob a proteção de adminSDHolder ?

    
por Shane Madden 11.12.2014 / 00:40

1 resposta

7

Isso é factível, mas apenas através das ferramentas de linha de comando - a interface do usuário é incapaz de fazer as alterações (e de descobrir o que essas ACEs realmente são quando estão em vigor).

Para conceder acesso a um atributo de objeto de usuário específico, por exemplo, telephoneNumber , use dsacls :

dsacls "CN=AdminSDHolder,CN=System,DC=example,DC=com" /G Allow-User-Management:RPWP;telephoneNumber;

Isso cria uma ACE para esse atributo, o que não faz sentido em adminSDHolder , pois não tem um telephoneNumber , mas é aplicado aos usuários protegidos.

Observe que as ferramentas da interface do usuário ficarão assim, o que você atribui a cada uma dessas propriedades para criar uma ACE que não tem certeza do que fazer:

Mas,dsacls"CN=AdminSDHolder,CN=System,DC=example,DC=com" mostrará a verdade:

Allow Allow-User-Management
                                      SPECIAL ACCESS for sn
                                      WRITE PROPERTY
                                      READ PROPERTY
Allow Allow-User-Management
                                      SPECIAL ACCESS for telephoneNumber
                                      WRITE PROPERTY
                                      READ PROPERTY
    
por 11.12.2014 / 00:40