Conceder a la cuenta acceso de escritura a atributos específicos en el objeto Usuario de Active Directory

Question 1

Si bien la respuesta de @ sysdmin1138 fue correcta, vale la pena mencionar que cambiar el alcance no es la única razón por la que faltan cosas en la vista. Hay cosas queinvisiblepor defecto.

Algunos objetos comonombre de la oficina de entrega físicaestán ocultos a la vista para que no puedas delegarlos fácilmente. Muchos otros atributos también están ocultos, pero PhysicalDeliveryOfficeName es muy específico y puede ser un buen ejemplo de cómo funcionan las cosas para Delegación.

La pestaña Permisos por propiedad para un objeto de usuario que usted veDirectorio activo de usuarios y computadorasEs posible que no muestre todas las propiedades del objeto de usuario. Esto se debe a que la interfaz de usuario para el control de acceso filtra los tipos de objetos y propiedades para que la lista sea más fácil de administrar. Mientras que las propiedades de un objeto se definen en el esquema, la lista de propiedades filtradas que se muestran se almacena en elDssec.datarchivo que se encuentra en el%raízdelsistema%\System32carpeta en todos los controladores de dominio. Puede editar las entradas de un objeto en el archivo para mostrar las propiedades filtradas a través de la interfaz de usuario.

Una propiedad filtrada se ve así en elDssec.datarchivo:

[User]
propertyname=7

Para mostrar los permisos de lectura y escritura para una propiedad de un objeto, puede editar el valor del filtro para mostrar uno o ambos permisos. Para mostrar los permisos de lectura y escritura de una propiedad, cambie el valor a cero (0):

[User]
propertyname=0

Para mostrar solo el permiso de escritura para una propiedad, cambie el valor a 1:

[User] 
propertyname=1

Para mostrar solo los permisos de lectura de una propiedad, cambie el valor a 2:

[User]
propertyname=2

Después de editar el archivo Dssec.dat, debe salir y reiniciar Usuarios y equipos de Active Directory para ver las propiedades que ya no están filtradas. El archivo también es específico de la máquina, por lo que cambiarlo en una máquina no actualiza todas las demás. Depende de usted si quiere que sea visible en todas partes o no.

Historia completa sobrenombre de la oficina de entrega físicay cómo cambiarlo con capturas de pantalla se puede leer en mi blog.

PS1. Dado que PhysicalDeliveryOfficeName es un caso especial, después de modificar esta configuración busqueUbicación de la oficina de lectura/escritura. Lamentablemente el nombrenombre de la oficina de entrega físicanunca aparece.

PS2. A menos que esas configuraciones se descubran modificando dssec.dat, no podrá verlas. Dado que este archivo es por computadora, es muy posible que sea visible en algunas computadoras y no en otras, dependiendo de si alguien realizó el cambio antes o no. Esto podría explicar por qué pudiste verlo antes y no después.

PS3. Perdón por la resurrección, pero pasé unas horas tratando de encontrar la causa, así que pensé en compartirla para referencia futura.

Answer

Si bien la respuesta de @ sysdmin1138 fue correcta, vale la pena mencionar que cambiar el alcance no es la única razón por la que faltan cosas en la vista. Hay cosas queinvisiblepor defecto.

Algunos objetos comonombre de la oficina de entrega físicaestán ocultos a la vista para que no puedas delegarlos fácilmente. Muchos otros atributos también están ocultos, pero PhysicalDeliveryOfficeName es muy específico y puede ser un buen ejemplo de cómo funcionan las cosas para Delegación.

La pestaña Permisos por propiedad para un objeto de usuario que usted veDirectorio activo de usuarios y computadorasEs posible que no muestre todas las propiedades del objeto de usuario. Esto se debe a que la interfaz de usuario para el control de acceso filtra los tipos de objetos y propiedades para que la lista sea más fácil de administrar. Mientras que las propiedades de un objeto se definen en el esquema, la lista de propiedades filtradas que se muestran se almacena en elDssec.datarchivo que se encuentra en el%raízdelsistema%\System32carpeta en todos los controladores de dominio. Puede editar las entradas de un objeto en el archivo para mostrar las propiedades filtradas a través de la interfaz de usuario.

Una propiedad filtrada se ve así en elDssec.datarchivo:

[User]
propertyname=7

Para mostrar los permisos de lectura y escritura para una propiedad de un objeto, puede editar el valor del filtro para mostrar uno o ambos permisos. Para mostrar los permisos de lectura y escritura de una propiedad, cambie el valor a cero (0):

[User]
propertyname=0

Para mostrar solo el permiso de escritura para una propiedad, cambie el valor a 1:

[User] 
propertyname=1

Para mostrar solo los permisos de lectura de una propiedad, cambie el valor a 2:

[User]
propertyname=2

Después de editar el archivo Dssec.dat, debe salir y reiniciar Usuarios y equipos de Active Directory para ver las propiedades que ya no están filtradas. El archivo también es específico de la máquina, por lo que cambiarlo en una máquina no actualiza todas las demás. Depende de usted si quiere que sea visible en todas partes o no.

Historia completa sobrenombre de la oficina de entrega físicay cómo cambiarlo con capturas de pantalla se puede leer en mi blog.

PS1. Dado que PhysicalDeliveryOfficeName es un caso especial, después de modificar esta configuración busqueUbicación de la oficina de lectura/escritura. Lamentablemente el nombrenombre de la oficina de entrega físicanunca aparece.

PS2. A menos que esas configuraciones se descubran modificando dssec.dat, no podrá verlas. Dado que este archivo es por computadora, es muy posible que sea visible en algunas computadoras y no en otras, dependiendo de si alguien realizó el cambio antes o no. Esto podría explicar por qué pudiste verlo antes y no después.

PS3. Perdón por la resurrección, pero pasé unas horas tratando de encontrar la causa, así que pensé en compartirla para referencia futura.

Question 2

Creo que para obtener la lista completa hay que cambiar "Aplicar a" a "usuario" en lugar de "este objeto y todos los objetos secundarios". Esto cambia el cuadro de diálogo de selección de propiedades para incluirlas todas.

Answer

Creo que para obtener la lista completa hay que cambiar "Aplicar a" a "usuario" en lugar de "este objeto y todos los objetos secundarios". Esto cambia el cuadro de diálogo de selección de propiedades para incluirlas todas.

Question 3

Vaya al editor de ACL "Avanzado". Agregue el principal a quien se le deben otorgar los derechos. En el cuadro de diálogo "Permiso para [nombre principal]", vaya a la pestaña "Propiedades", elija "Objetos de usuario" en la lista "Aplicar en:" y seleccione las propiedades y los permisos deseados de la lista.

Revisé la mayor parte de tu lista y encontré todo lo que buscaba allí.

Answer

Vaya al editor de ACL "Avanzado". Agregue el principal a quien se le deben otorgar los derechos. En el cuadro de diálogo "Permiso para [nombre principal]", vaya a la pestaña "Propiedades", elija "Objetos de usuario" en la lista "Aplicar en:" y seleccione las propiedades y los permisos deseados de la lista.

Revisé la mayor parte de tu lista y encontré todo lo que buscaba allí.

Conceder a la cuenta acceso de escritura a atributos específicos en el objeto Usuario de Active Directory

Respuesta1

Respuesta2

Respuesta3

información relacionada