Active Directory ユーザー オブジェクトの特定の属性への書き込みアクセス権をアカウントに付与する

@sysdmin1138の回答は正しいが、スコープの変更がビューから物が消える唯一の理由ではないことは言及する価値がある。見えないデフォルトでは。

次のようなオブジェクト物理的な配送オフィス名ビューから非表示になっているため、簡単に委任することはできません。他の多くの属性も非表示になっていますが、physicalDeliveryOfficeName は非常に具体的であり、委任がどのように機能するかを示す良い例になります。

表示するユーザーオブジェクトのプロパティごとの権限タブActive Directory ユーザーとコンピューターユーザーオブジェクトのすべてのプロパティが表示されない場合があります。これは、アクセス制御のユーザーインターフェイスがオブジェクトとプロパティの種類をフィルタリングしてリストを管理しやすくするためです。オブジェクトのプロパティはスキーマで定義されますが、表示されるフィルタリングされたプロパティのリストはDssec.datファイルは%システムルート%\System32すべてのドメイン コントローラー上のフォルダー。ファイル内のオブジェクトのエントリを編集して、フィルターされたプロパティをユーザー インターフェイスを通じて表示できます。

フィルタリングされたプロパティは、Dssec.datファイル：

[User]
propertyname=7

オブジェクトのプロパティの読み取り権限と書き込み権限を表示するには、フィルター値を編集して、権限の 1 つまたは両方を表示します。プロパティの読み取り権限と書き込み権限の両方を表示するには、値をゼロ (0) に変更します。

[User]
propertyname=0

プロパティの書き込み権限のみを表示するには、値を 1 に変更します。

[User] 
propertyname=1

プロパティの読み取り権限のみを表示するには、値を 2 に変更します。

[User]
propertyname=2

Dssec.dat ファイルを編集した後、フィルター処理されていないプロパティを表示するには、Active Directory ユーザーとコンピューターを終了して再起動する必要があります。また、このファイルはマシン固有であるため、1 台のマシンで変更しても他のすべてのマシンは更新されません。このファイルをすべてのマシンで表示するかどうかは、ユーザー次第です。

完全なストーリー物理的な配送オフィス名スクリーンショットで変更する方法については、私のブログで読むことができます。

PS1. physicalDeliveryOfficeNameは特別なケースなので、この設定を変更した後はオフィス所在地の読み取り/書き込み残念ながら名前物理的な配送オフィス名決して現れません。

PS2。dssec.dat を変更してこれらの設定を明らかにしない限り、表示することはできません。このファイルはコンピューターごとに存在するため、誰かが以前に変更を行ったかどうかによって、一部のコンピューターでは表示され、他のコンピューターでは表示されない可能性があります。これにより、以前は表示されていたのに、後から表示されなくなった理由が説明できます。

PS3。復活して申し訳ありませんが、原因を突き止めるのに数時間を費やしたので、今後の参考のために共有しようと思いました。

完全なリストを取得するには、「適用先」を「このオブジェクトとすべての子オブジェクト」ではなく「ユーザー」に変更する必要があると思います。これにより、プロパティ選択ダイアログが変更され、これらすべてが含まれるようになります。

「詳細」ACL エディタに移動します。権限を付与するプリンシパルを追加します。「[プリンシパル名] のアクセス許可」ダイアログで、「プロパティ」タブに移動し、「適用先:」リストで「ユーザー オブジェクト」を選択し、リストからプロパティと必要なアクセス許可を選択します。

あなたのリストのほとんどをチェックしたところ、探していたものがすべて見つかりました。