Atribuir permissões a uma propriedade personalizada definida no diretório ativo

Question

Atribuir permissões a uma propriedade personalizada definida no diretório ativo

#1 resposta do (0 votos)
#2 resposta do (0 votos)

2

Eu estou tentando configurar uma propriedade personalizada definida no Active Directory (2008R2) e eu não consigo descobrir como aplicar as permissões com base no conjunto. Mais especificamente, precisamos adicionar vários novos atributos (25+) e vários processos / departamentos precisam ler / gravar para atributos específicos. Além disso, alguns dos atributos contêm informações confidenciais.

Para simplificar permissões {leia manter DACLs lista mais curta}, eu queria criar vários conjuntos de propriedades personalizadas e aplicar permissões para estes {semelhante ao General-Informação} Se os atributos ajudar a informações confidenciais que eu estava indo para definir os atributos searchflag a 128 { conf pouco } em seguida, permissões de leitura pode ser adicionado através de um grupo com acesso de leitura {via LDP}

Eu tenho o costume configurado e eles parecem ok. A coisa é, quando eu abrir ldp.exe para definir um ace, eu não vê-los listado em propset ou controlar o acesso direita. Temos utilizado este método para atributos no passado e ele funciona bem, apenas plumas é a lista de DACLs vai ter um pouco pesado com este muitos atributos.

Quaisquer pensamentos seriam apreciados.

active-directory windows-server-2008-r2

por SleepyAdmin 09.07.2013 / 20:12

2 respostas

Tags active-directory windows-server-2008-r2

Tentando que os erros "pool parece ocupado" parassem com o php-fpm Como faço para ativar a autenticação de resumo para o Jetty na frente da Pesquisa elástica

score 0 · Answer 1

Conjuntos de propriedades estão disponíveis em AD Users & Computadores. Acho que você precisa ativar Recursos avançados no menu Visualizar . Abra as propriedades do contêiner, selecione Segurança e clique no botão Avançado . Quando você adiciona ou edita a ACE, clique na guia Propriedades . Isso listará todos os conjuntos de propriedades primeiro, seguidos pelas propriedades individuais.

No LDP, clique com o botão direito do mouse no container e selecione Avançado > Descritor de Segurança . Clique em OK para aceitar o DN do objeto que você acabou de selecionar. O que é flakey sobre o LDP é que os botões Adicionar ACE e Editar ACE não estão disponíveis até que você selecione uma das ACEs existentes. Mas a partir desse diálogo, os conjuntos de propriedades são listados no menu suspenso Tipo de objeto .

Outra coisa a lembrar se você estiver criando novos atributos e novos conjuntos de propriedades é que o conjunto de propriedades está vinculado ao atributo por meio do Esquema. Portanto, isso não estará disponível para objetos existentes até que eles sejam sincronizados com as atualizações de esquema usando algo como ldapmodify .

score 0 · Answer 2

Como você deve saber, os conjuntos de propriedades são definidos no Esquema. Ao defini-las, você deve certificar-se de defini-las correta e completamente, o que significa que também deve garantir que os atributos relacionados à interface do usuário usados pelos clientes da GUI ao enumerar a lista de conjuntos de propriedades do Esquema sejam especificados corretamente. / p>

Gostaria de sugerir uma segunda olhada nas descrições dos conjuntos de propriedades para garantir que os atributos relacionados à interface do usuário também sejam definidos corretamente. Uma vez definido corretamente, qualquer cliente ciente do AD que seja desenvolvido corretamente deve ter os meios para mostrar a você esses conjuntos de propriedades.