Предоставить учетной записи доступ на запись к определенным атрибутам объекта пользователя Active Directory

Question 1

Хотя ответ @sysdmin1138 был правильным, стоит отметить, что изменение области действия — не единственная причина, по которой что-то отсутствует в представлении. Есть вещи, которыеневидимыйпо умолчанию.

Некоторые объекты, такие какИмя физического офиса доставкискрыты от просмотра, поэтому вы не можете легко делегировать их. Многие другие атрибуты также скрыты, но physicalDeliveryOfficeName очень специфичен и может быть хорошим примером того, как все работает для делегирования.

Вкладка «Разрешения для каждого свойства» для объекта пользователя, который вы просматриваетеПользователи и компьютеры Active Directoryможет не отображать все свойства объекта пользователя. Это происходит потому, что пользовательский интерфейс для контроля доступа отфильтровывает типы объектов и свойств, чтобы сделать список более удобным для управления. В то время как свойства объекта определены в схеме, список отфильтрованных свойств, которые отображаются, хранится вDssec.датфайл, который находится в%системный_корень%\System32папка на всех контроллерах домена. Вы можете редактировать записи для объекта в файле, чтобы отобразить отфильтрованные свойства через пользовательский интерфейс.

Отфильтрованное свойство выглядит так:Dssec.датфайл:

[User]
propertyname=7

Чтобы отобразить разрешения на чтение и запись для свойства объекта, вы можете изменить значение фильтра, чтобы отобразить одно или оба разрешения. Чтобы отобразить разрешения на чтение и запись для свойства, измените значение на ноль (0):

[User]
propertyname=0

Чтобы отобразить только разрешение на запись для свойства, измените значение на 1:

[User] 
propertyname=1

Чтобы отобразить только разрешения на чтение для свойства, измените значение на 2:

[User]
propertyname=2

После редактирования файла Dssec.dat необходимо выйти и перезапустить Active Directory Users and Computers, чтобы увидеть свойства, которые больше не фильтруются. Файл также является машинно-специфичным, поэтому его изменение на одной машине не обновит все остальные. Вам решать, хотите ли вы, чтобы он был виден везде или нет.

Полная история оИмя физического офиса доставкии как это изменить со скриншотами можно прочитать в моем блоге.

PS1. Поскольку physicalDeliveryOfficeName — это особый случай, после изменения этого параметра найдитеРасположение офиса для чтения/записи. К сожалению, имяИмя физического офиса доставкиникогда не появляется.

PS2. Если эти настройки не раскрыты путем изменения dssec.dat, вы не сможете их увидеть. Поскольку этот файл относится к одному компьютеру, вполне возможно, что он виден на некоторых компьютерах и не виден на других, в зависимости от того, внес ли кто-то изменения ранее или нет. Это может объяснить, почему вы могли видеть его раньше, а не позже.

PS3. Извините за воскрешение, но я потратил несколько часов, пытаясь найти причину, поэтому решил поделиться ею для дальнейшего использования.

Answer

Хотя ответ @sysdmin1138 был правильным, стоит отметить, что изменение области действия — не единственная причина, по которой что-то отсутствует в представлении. Есть вещи, которыеневидимыйпо умолчанию.

Некоторые объекты, такие какИмя физического офиса доставкискрыты от просмотра, поэтому вы не можете легко делегировать их. Многие другие атрибуты также скрыты, но physicalDeliveryOfficeName очень специфичен и может быть хорошим примером того, как все работает для делегирования.

Вкладка «Разрешения для каждого свойства» для объекта пользователя, который вы просматриваетеПользователи и компьютеры Active Directoryможет не отображать все свойства объекта пользователя. Это происходит потому, что пользовательский интерфейс для контроля доступа отфильтровывает типы объектов и свойств, чтобы сделать список более удобным для управления. В то время как свойства объекта определены в схеме, список отфильтрованных свойств, которые отображаются, хранится вDssec.датфайл, который находится в%системный_корень%\System32папка на всех контроллерах домена. Вы можете редактировать записи для объекта в файле, чтобы отобразить отфильтрованные свойства через пользовательский интерфейс.

Отфильтрованное свойство выглядит так:Dssec.датфайл:

[User]
propertyname=7

Чтобы отобразить разрешения на чтение и запись для свойства объекта, вы можете изменить значение фильтра, чтобы отобразить одно или оба разрешения. Чтобы отобразить разрешения на чтение и запись для свойства, измените значение на ноль (0):

[User]
propertyname=0

Чтобы отобразить только разрешение на запись для свойства, измените значение на 1:

[User] 
propertyname=1

Чтобы отобразить только разрешения на чтение для свойства, измените значение на 2:

[User]
propertyname=2

После редактирования файла Dssec.dat необходимо выйти и перезапустить Active Directory Users and Computers, чтобы увидеть свойства, которые больше не фильтруются. Файл также является машинно-специфичным, поэтому его изменение на одной машине не обновит все остальные. Вам решать, хотите ли вы, чтобы он был виден везде или нет.

Полная история оИмя физического офиса доставкии как это изменить со скриншотами можно прочитать в моем блоге.

PS1. Поскольку physicalDeliveryOfficeName — это особый случай, после изменения этого параметра найдитеРасположение офиса для чтения/записи. К сожалению, имяИмя физического офиса доставкиникогда не появляется.

PS2. Если эти настройки не раскрыты путем изменения dssec.dat, вы не сможете их увидеть. Поскольку этот файл относится к одному компьютеру, вполне возможно, что он виден на некоторых компьютерах и не виден на других, в зависимости от того, внес ли кто-то изменения ранее или нет. Это может объяснить, почему вы могли видеть его раньше, а не позже.

PS3. Извините за воскрешение, но я потратил несколько часов, пытаясь найти причину, поэтому решил поделиться ею для дальнейшего использования.

Question 2

Я считаю, что для получения полного списка вам нужно изменить "Применить к" на "пользователь" вместо "этот объект и все дочерние объекты". Это изменит диалог выбора свойств, включив все эти.

Answer

Я считаю, что для получения полного списка вам нужно изменить "Применить к" на "пользователь" вместо "этот объект и все дочерние объекты". Это изменит диалог выбора свойств, включив все эти.

Question 3

Перейдите в редактор ACL «Advanced». Добавьте принципала, которому должны быть предоставлены права. В диалоговом окне «Permission for [principal name]» перейдите на вкладку «Properties», выберите «User objects» в списке «Apply on:» и выберите свойства и нужные разрешения из списка.

Я выборочно проверил большую часть вашего списка и нашел там все, что искал.

Answer

Перейдите в редактор ACL «Advanced». Добавьте принципала, которому должны быть предоставлены права. В диалоговом окне «Permission for [principal name]» перейдите на вкладку «Properties», выберите «User objects» в списке «Apply on:» и выберите свойства и нужные разрешения из списка.

Я выборочно проверил большую часть вашего списка и нашел там все, что искал.

Предоставить учетной записи доступ на запись к определенным атрибутам объекта пользователя Active Directory

решение1

решение2

решение3

Связанный контент