Conceder acesso de gravação à conta a atributos específicos no objeto Usuário do Active Directory

Embora a resposta do @sysdmin1138 esteja correta, vale a pena mencionar que alterar o escopo não é a única razão pela qual algumas coisas estão faltando na visualização. Há coisas queinvisívelpor padrão.

Alguns objetos comoentrega física OfficeNameestão ocultos para que você não possa delegá-los facilmente. Muitos outros atributos também estão ocultos, mas PhysicalDeliveryOfficeName é muito específico e pode ser um bom exemplo de como as coisas funcionam para Delegação.

A guia Permissões por propriedade para um objeto de usuário que você visualizaUsuários e computadores do Active Directorypode não exibir todas as propriedades do objeto de usuário. Isso ocorre porque a interface do usuário para controle de acesso filtra tipos de objetos e propriedades para facilitar o gerenciamento da lista. Embora as propriedades de um objeto sejam definidas no esquema, a lista de propriedades filtradas exibidas é armazenada no arquivoDssec.datarquivo que está localizado no% raiz do sistema% System32pasta em todos os controladores de domínio. Você pode editar as entradas de um objeto no arquivo para exibir as propriedades filtradas por meio da interface do usuário.

Uma propriedade filtrada se parece com isto noDssec.datarquivo:

[User]
propertyname=7

Para exibir as permissões de leitura e gravação de uma propriedade de um objeto, você pode editar o valor do filtro para exibir uma ou ambas as permissões. Para exibir as permissões de leitura e gravação de uma propriedade, altere o valor para zero (0):

[User]
propertyname=0

Para exibir apenas a permissão de gravação de uma propriedade, altere o valor para 1:

[User] 
propertyname=1

Para exibir apenas as permissões de leitura de uma propriedade, altere o valor para 2:

[User]
propertyname=2

Depois de editar o arquivo Dssec.dat, você deve sair e reiniciar Usuários e Computadores do Active Directory para ver as propriedades que não estão mais filtradas. O arquivo também é específico da máquina, portanto, alterá-lo em uma máquina não atualiza todas as outras. Cabe a você decidir se deseja que ele seja visível em todos os lugares ou não.

História completa sobreentrega física OfficeNamee como alterá-lo com capturas de tela pode ser lido no meu blog.

PS1. Como PhysicalDeliveryOfficeName é um caso especial, depois de modificar esta configuração, procureLer/escrever localização do escritório. Infelizmente o nomeentrega física OfficeNamenunca aparece.

PS2. A menos que essas configurações sejam descobertas pela modificação de dssec.dat, você não poderá vê-las. Como esse arquivo é por computador, é perfeitamente possível que ele esteja visível em alguns computadores e não em outros, dependendo se alguém fez a alteração antes ou não. Isso poderia explicar por que você pôde ver isso antes e não mais tarde.

PS3. Desculpe pela ressurreição, mas passei algumas horas tentando encontrar a causa, então pensei em compartilhá-la para referência futura.

Acredito que para obter a lista completa você precisa alterar "Aplicar em" para "usuário" em vez de "este objeto e todos os objetos filhos". Isso altera a caixa de diálogo de seleção de propriedades para incluir todas elas.

Vá para o editor ACL "Avançado". Adicione o principal a quem os direitos devem ser concedidos. Na caixa de diálogo "Permissão para [nome principal]", vá para a guia "Propriedades", escolha "Objetos de usuário" na lista "Aplicar em:" e selecione as propriedades e permissões desejadas na lista.

Verifiquei a maior parte da sua lista e encontrei tudo o que procurava lá.