Isso é factível, mas apenas através das ferramentas de linha de comando - a interface do usuário é incapaz de fazer as alterações (e de descobrir o que essas ACEs realmente são quando estão em vigor).
Para conceder acesso a um atributo de objeto de usuário específico, por exemplo, telephoneNumber
, use dsacls
:
dsacls "CN=AdminSDHolder,CN=System,DC=example,DC=com" /G Allow-User-Management:RPWP;telephoneNumber;
Isso cria uma ACE para esse atributo, o que não faz sentido em adminSDHolder
, pois não tem um telephoneNumber
, mas é aplicado aos usuários protegidos.
Observe que as ferramentas da interface do usuário ficarão assim, o que você atribui a cada uma dessas propriedades para criar uma ACE que não tem certeza do que fazer:
Mas,dsacls"CN=AdminSDHolder,CN=System,DC=example,DC=com"
mostrará a verdade:
Allow Allow-User-Management
SPECIAL ACCESS for sn
WRITE PROPERTY
READ PROPERTY
Allow Allow-User-Management
SPECIAL ACCESS for telephoneNumber
WRITE PROPERTY
READ PROPERTY