Active Directory 사용자 개체의 특정 속성에 대한 계정 쓰기 액세스 권한 부여

@sysdmin1138 답변은 정확했지만 범위 변경이 뷰에서 항목이 누락되는 유일한 이유는 아니라는 점을 언급할 가치가 있습니다. 그런 것들이 있어요보이지 않는기본적으로.

다음과 같은 일부 객체실제 배송사무실 이름보기에서 숨겨져 있으므로 쉽게 위임할 수 없습니다. 다른 많은 속성도 숨겨져 있지만 PhysicalDeliveryOfficeName은 매우 구체적이며 위임이 어떻게 작동하는지에 대한 좋은 예가 될 수 있습니다.

통해 볼 수 있는 사용자 개체에 대한 속성별 권한 탭Active Directory 사용자 및 컴퓨터사용자 개체의 모든 속성을 표시하지 못할 수도 있습니다. 이는 액세스 제어를 위한 사용자 인터페이스가 목록을 더 쉽게 관리할 수 있도록 개체 및 속성 유형을 필터링하기 때문입니다. 개체의 속성은 스키마에 정의되어 있지만 표시되는 필터링된 속성 목록은Dssec.dat에 위치한 파일%systemroot%\System32모든 도메인 컨트롤러의 폴더입니다. 파일의 개체 항목을 편집하여 사용자 인터페이스를 통해 필터링된 속성을 표시할 수 있습니다.

필터링된 속성은 다음과 같습니다.Dssec.dat파일:

[User]
propertyname=7

개체 속성에 대한 읽기 및 쓰기 권한을 표시하려면 필터 값을 편집하여 권한 중 하나 또는 둘 다를 표시하면 됩니다. 속성에 대한 읽기 및 쓰기 권한을 모두 표시하려면 값을 0으로 변경합니다.

[User]
propertyname=0

속성에 대한 쓰기 권한만 표시하려면 값을 1로 변경합니다.

[User] 
propertyname=1

속성에 대한 읽기 권한만 표시하려면 값을 2로 변경합니다.

[User]
propertyname=2

Dssec.dat 파일을 편집한 후 더 이상 필터링되지 않는 속성을 보려면 Active Directory 사용자 및 컴퓨터를 종료하고 다시 시작해야 합니다. 파일은 시스템별로 다르므로 한 시스템에서 파일을 변경해도 다른 모든 시스템이 업데이트되지는 않습니다. 어디에서나 볼 수 있는지 여부는 귀하에게 달려 있습니다.

에 대한 전체 이야기실제 배송사무실 이름스크린샷으로 변경하는 방법은 내 블로그에서 읽을 수 있습니다.

PS1. PhysicalDeliveryOfficeName은 특수한 경우이므로 이 설정을 수정한 후읽기/쓰기 사무실 위치. 아쉽게도 이름은실제 배송사무실 이름결코 나타나지 않습니다.

PS2. dssec.dat를 수정하여 해당 설정을 발견하지 않는 한 해당 설정을 볼 수 없습니다. 이 파일은 컴퓨터별로 작성되므로 누군가가 이전에 변경했는지 여부에 따라 일부 컴퓨터에서는 표시되고 다른 컴퓨터에서는 표시되지 않을 수 있습니다. 이것은 왜 이전에는 볼 수 있었지만 나중에는 볼 수 없는지 설명할 수 있습니다.

PS3. 부활해서 죄송하지만 원인을 찾으려고 몇 시간을 소비했기 때문에 나중에 참고할 수 있도록 공유하겠습니다.

"이 개체 및 모든 하위 개체" 대신 "적용 대상"을 "사용자"로 변경해야 하는 전체 목록을 얻을 수 있다고 생각합니다. 그러면 속성 선택 대화 상자가 이러한 모든 항목을 포함하도록 변경됩니다.

"고급" ACL 편집기로 이동합니다. 권한을 부여할 주체를 추가합니다. "[주체 이름]에 대한 권한" 대화 상자에서 "속성" 탭으로 이동하고 "적용 대상:" 목록에서 "사용자 개체"를 선택한 다음 목록에서 속성과 원하는 권한을 선택합니다.

나는 당신의 목록 대부분을 무작위로 조사했고 거기에서 내가 찾던 모든 것을 찾았습니다.