Conceder acesso de gravação à conta para atributos específicos no objeto Usuário do Active Directory

Navegue suas respostas
5

Estou tentando permitir que uma conta atualize atributos muito específicos em todos os objetos Usuário. Estou definindo essa segurança no objeto "Usuário". Quando adiciono a conta na guia de segurança, vou para o avançado, edito as permissões de contas e começo a percorrer a lista de atributos. Só consigo encontrar alguns, como o Nome, mas a maioria dos atributos que eu quero permitir. escrever para estão faltando. Como posso conceder acesso de gravação à conta a esses atributos?

Atributos que preciso conceder permissão para:

  • Primeiro nome (givenName)
  • Sobrenome (sn)
  • Iniciais (iniciais)
  • Departamento (departamento)
  • Empresa (empresa)
  • Título (título)
  • Gerente (gerente)
  • Informações de localização (physicalDeliveryOfficeName, streetAddress, postOfficeBox)
  • Telefone comercial (telephoneNumber)
  • Pager (pager)
  • Telefone IP (ipPhone)
  • Telefone IP Outro (otherIpPhone)
  • ThumbnailLogo (thumbnailLogo)
  • jpegPhoto (jpegPhoto)
  • Descrição (displayName)

Obrigado

    
por Peter 17.06.2010 / 00:24

3 respostas

4

Enquanto a resposta @ sysdmin1138 estava correta, vale a pena mencionar que mudar o escopo não é a única razão pela qual as coisas estão faltando na visão. Há coisas que invisível por padrão.

Alguns objetos, como physicalDeliveryOfficeName , ficam ocultos da vista, por isso você não pode delegá-los facilmente. Muitos outros atributos também estão ocultos, mas physicalDeliveryOfficeName é muito específico e pode ser um bom exemplo de como as coisas funcionam para a Delegação.

A guia Permissões por propriedade de um objeto de usuário que você exibe por meio de Usuários e computadores do Active Directory pode não exibir todas as propriedades do objeto de usuário. Isso ocorre porque a interface do usuário para o controle de acesso filtra os tipos de objeto e propriedade para tornar a lista mais fácil de gerenciar. Enquanto as propriedades de um objeto são definidas no esquema, a lista de propriedades filtradas exibidas é armazenada no arquivo Dssec.dat que está localizado no % systemroot% \ System32 em todos os controladores de domínio. Você pode editar as entradas de um objeto no arquivo para exibir as propriedades filtradas por meio da interface do usuário.

Uma propriedade filtrada tem esta aparência no arquivo Dssec.dat : 

[User]
propertyname=7

Para exibir as permissões de leitura e gravação de uma propriedade de um objeto, você pode editar o valor do filtro para exibir uma ou ambas as permissões. Para exibir as permissões de leitura e gravação de uma propriedade, altere o valor para zero (0): 

[User]
propertyname=0

Para exibir apenas a permissão de gravação de uma propriedade, altere o valor para 1: 

[User] 
propertyname=1

Para exibir apenas as permissões de leitura de uma propriedade, altere o valor para 2: 

[User]
propertyname=2

Depois de editar o arquivo Dssec.dat, você deve sair e reiniciar os Usuários e Computadores do Active Directory para ver as propriedades que não são mais filtradas. O arquivo também é específico da máquina, portanto, alterá-lo em uma máquina não atualiza todas as outras. Depende de você se deseja que seja visível em todos os lugares ou não.

Amatériacompletasobre physicalDeliveryOfficeName e como alterá-la com capturas de tela pode ser lida no meu blog.

PS1. Como o physicalDeliveryOfficeName é um caso especial, após modificar essa configuração, procure Local do Office de leitura / gravação . Infelizmente, o nome physicalDeliveryOfficeName nunca aparece.

PS2. A menos que essas configurações sejam descobertas modificando dssec.dat, você não poderá vê-las. Como esse arquivo é por computador, é perfeitamente possível que seja visível em alguns computadores e não seja visível em outros, dependendo de alguém ter feito a alteração antes ou não. Isso poderia explicar por que você pode ver antes e depois.

PS3. Desculpe pela ressurreição, mas apenas passei algumas horas tentando encontrar a causa, então pensei em compartilhá-la para referência futura.

    
por 18.08.2016 / 00:13
2

Eu acredito que para obter a lista completa você tem que mudar "Aplicar em" para "usuário" em vez de "este objeto e todos os objetos filho". Isso altera a caixa de diálogo de seleção de propriedades para incluir todos eles.

    
por 17.06.2010 / 00:49
1

Vá para o editor de ACL "Avançado". Adicione o principal a quem os direitos devem ser concedidos. Na caixa de diálogo "Permissão para [nome principal]", vá para a guia "Propriedades", escolha "Objetos do usuário" na lista "Aplicar em:" e selecione as propriedades e as permissões desejadas na lista.

Eu verifiquei a maior parte da sua lista e encontrei tudo o que procurava lá.

    
por 17.06.2010 / 02:33

Tags

Alguém comparou o apache ao compilado do source vs instalado usando o gerenciador de pacotes? Copie o perfil local do XP para o novo perfil de usuário do domínio