Gewähren Sie dem Konto Schreibzugriff auf bestimmte Attribute im Active Directory-Benutzerobjekt

Question 1

Obwohl die Antwort von @sysdmin1138 richtig war, ist es erwähnenswert, dass die Änderung des Umfangs nicht der einzige Grund ist, warum Dinge in der Ansicht fehlen. Es gibt Dinge, dieunsichtbarstandardmäßig.

Einige Objekte wiephysischerLieferbüronamesind nicht sichtbar, sodass Sie sie nicht einfach delegieren können. Viele andere Attribute sind ebenfalls ausgeblendet, aber physicalDeliveryOfficeName ist sehr spezifisch und kann ein gutes Beispiel dafür sein, wie die Delegierung funktioniert.

Die Registerkarte Berechtigungen pro Eigenschaft für ein Benutzerobjekt, das Sie überAktive Verzeichnisse Benutzer und Computerzeigt möglicherweise nicht jede Eigenschaft des Benutzerobjekts an. Dies liegt daran, dass die Benutzeroberfläche für die Zugriffskontrolle Objekt- und Eigenschaftstypen herausfiltert, um die Liste einfacher zu verwalten. Während die Eigenschaften eines Objekts im Schema definiert sind, wird die Liste der angezeigten gefilterten Eigenschaften imDssec.datDatei im%systemroot%\System32Ordner auf allen Domänencontrollern. Sie können die Einträge für ein Objekt in der Datei bearbeiten, um die gefilterten Eigenschaften über die Benutzeroberfläche anzuzeigen.

Eine gefilterte Eigenschaft sieht wie folgt aus imDssec.datDatei:

[User]
propertyname=7

Um die Lese- und Schreibberechtigungen für eine Eigenschaft eines Objekts anzuzeigen, können Sie den Filterwert bearbeiten, um eine oder beide Berechtigungen anzuzeigen. Um sowohl die Lese- als auch die Schreibberechtigungen für eine Eigenschaft anzuzeigen, ändern Sie den Wert auf Null (0):

[User]
propertyname=0

Um nur die Schreibberechtigung für eine Eigenschaft anzuzeigen, ändern Sie den Wert auf 1:

[User] 
propertyname=1

Um nur die Leseberechtigungen für eine Eigenschaft anzuzeigen, ändern Sie den Wert auf 2:

[User]
propertyname=2

Nachdem Sie die Datei Dssec.dat bearbeitet haben, müssen Sie Active Directory-Benutzer und -Computer beenden und neu starten, um die nicht mehr gefilterten Eigenschaften anzuzeigen. Die Datei ist außerdem maschinenspezifisch, sodass eine Änderung auf einer Maschine nicht alle anderen aktualisiert. Es liegt an Ihnen, ob Sie sie überall sichtbar haben möchten oder nicht.

Die ganze Geschichte überphysischerLieferbüronameund wie man es mit Screenshots ändert, können Sie in meinem Blog nachlesen.

PS1. Da physicalDeliveryOfficeName ein Sonderfall ist, suchen Sie nach der Änderung dieser Einstellung nachLese-/SchreibbürostandortLeider der NamephysischerLieferbüronamewird nie angezeigt.

PS2. Sofern diese Einstellungen nicht durch Ändern von dssec.dat aufgedeckt werden, können Sie sie nicht sehen. Da diese Datei pro Computer ist, ist es durchaus möglich, dass sie auf einigen Computern sichtbar ist und auf anderen nicht, je nachdem, ob jemand die Änderung früher vorgenommen hat oder nicht. Dies könnte erklären, warum Sie sie früher sehen konnten und später nicht.

PS3. Tut mir leid, dass ich es wieder aufleben lasse, aber ich habe gerade ein paar Stunden damit verbracht, die Ursache herauszufinden, und dachte, ich würde es für die Zukunft mit Ihnen teilen.

Answer

Obwohl die Antwort von @sysdmin1138 richtig war, ist es erwähnenswert, dass die Änderung des Umfangs nicht der einzige Grund ist, warum Dinge in der Ansicht fehlen. Es gibt Dinge, dieunsichtbarstandardmäßig.

Einige Objekte wiephysischerLieferbüronamesind nicht sichtbar, sodass Sie sie nicht einfach delegieren können. Viele andere Attribute sind ebenfalls ausgeblendet, aber physicalDeliveryOfficeName ist sehr spezifisch und kann ein gutes Beispiel dafür sein, wie die Delegierung funktioniert.

Die Registerkarte Berechtigungen pro Eigenschaft für ein Benutzerobjekt, das Sie überAktive Verzeichnisse Benutzer und Computerzeigt möglicherweise nicht jede Eigenschaft des Benutzerobjekts an. Dies liegt daran, dass die Benutzeroberfläche für die Zugriffskontrolle Objekt- und Eigenschaftstypen herausfiltert, um die Liste einfacher zu verwalten. Während die Eigenschaften eines Objekts im Schema definiert sind, wird die Liste der angezeigten gefilterten Eigenschaften imDssec.datDatei im%systemroot%\System32Ordner auf allen Domänencontrollern. Sie können die Einträge für ein Objekt in der Datei bearbeiten, um die gefilterten Eigenschaften über die Benutzeroberfläche anzuzeigen.

Eine gefilterte Eigenschaft sieht wie folgt aus imDssec.datDatei:

[User]
propertyname=7

Um die Lese- und Schreibberechtigungen für eine Eigenschaft eines Objekts anzuzeigen, können Sie den Filterwert bearbeiten, um eine oder beide Berechtigungen anzuzeigen. Um sowohl die Lese- als auch die Schreibberechtigungen für eine Eigenschaft anzuzeigen, ändern Sie den Wert auf Null (0):

[User]
propertyname=0

Um nur die Schreibberechtigung für eine Eigenschaft anzuzeigen, ändern Sie den Wert auf 1:

[User] 
propertyname=1

Um nur die Leseberechtigungen für eine Eigenschaft anzuzeigen, ändern Sie den Wert auf 2:

[User]
propertyname=2

Nachdem Sie die Datei Dssec.dat bearbeitet haben, müssen Sie Active Directory-Benutzer und -Computer beenden und neu starten, um die nicht mehr gefilterten Eigenschaften anzuzeigen. Die Datei ist außerdem maschinenspezifisch, sodass eine Änderung auf einer Maschine nicht alle anderen aktualisiert. Es liegt an Ihnen, ob Sie sie überall sichtbar haben möchten oder nicht.

Die ganze Geschichte überphysischerLieferbüronameund wie man es mit Screenshots ändert, können Sie in meinem Blog nachlesen.

PS1. Da physicalDeliveryOfficeName ein Sonderfall ist, suchen Sie nach der Änderung dieser Einstellung nachLese-/SchreibbürostandortLeider der NamephysischerLieferbüronamewird nie angezeigt.

PS2. Sofern diese Einstellungen nicht durch Ändern von dssec.dat aufgedeckt werden, können Sie sie nicht sehen. Da diese Datei pro Computer ist, ist es durchaus möglich, dass sie auf einigen Computern sichtbar ist und auf anderen nicht, je nachdem, ob jemand die Änderung früher vorgenommen hat oder nicht. Dies könnte erklären, warum Sie sie früher sehen konnten und später nicht.

PS3. Tut mir leid, dass ich es wieder aufleben lasse, aber ich habe gerade ein paar Stunden damit verbracht, die Ursache herauszufinden, und dachte, ich würde es für die Zukunft mit Ihnen teilen.

Question 2

Ich glaube, um die vollständige Liste zu erhalten, müssen Sie „Anwenden auf“ in „Benutzer“ ändern, anstatt in „dieses Objekt und alle untergeordneten Objekte“. Dadurch wird der Eigenschaftenauswahldialog so geändert, dass alle diese Elemente eingeschlossen werden.

Answer

Ich glaube, um die vollständige Liste zu erhalten, müssen Sie „Anwenden auf“ in „Benutzer“ ändern, anstatt in „dieses Objekt und alle untergeordneten Objekte“. Dadurch wird der Eigenschaftenauswahldialog so geändert, dass alle diese Elemente eingeschlossen werden.

Question 3

Gehen Sie zum ACL-Editor „Erweitert“. Fügen Sie den Principal hinzu, dem die Rechte erteilt werden sollen. Gehen Sie im Dialogfenster „Berechtigung für [Name des Principals]“ auf die Registerkarte „Eigenschaften“, wählen Sie in der Liste „Anwenden auf:“ den Eintrag „Benutzerobjekte“ und wählen Sie die Eigenschaften und gewünschten Berechtigungen aus der Liste aus.

Ich habe den größten Teil Ihrer Liste stichprobenartig überprüft und dort alles gefunden, was ich gesucht habe.

Answer

Gehen Sie zum ACL-Editor „Erweitert“. Fügen Sie den Principal hinzu, dem die Rechte erteilt werden sollen. Gehen Sie im Dialogfenster „Berechtigung für [Name des Principals]“ auf die Registerkarte „Eigenschaften“, wählen Sie in der Liste „Anwenden auf:“ den Eintrag „Benutzerobjekte“ und wählen Sie die Eigenschaften und gewünschten Berechtigungen aus der Liste aus.

Ich habe den größten Teil Ihrer Liste stichprobenartig überprüft und dort alles gefunden, was ich gesucht habe.

Gewähren Sie dem Konto Schreibzugriff auf bestimmte Attribute im Active Directory-Benutzerobjekt

Antwort1

Antwort2

Antwort3

verwandte Informationen