我試圖允許帳戶更新所有使用者物件的非常具體的屬性。我正在“用戶”對像上設定此安全性。當我在安全性選項卡上新增帳戶時,請轉到高級,編輯帳戶權限,然後開始瀏覽屬性列表,我只能找到一些屬性,例如名字,但我想讓他們看到大多數屬性寫入缺失。如何授予帳戶對這些屬性的寫入權限?
我需要授予權限的屬性:
- 名字 (givenName)
- 姓氏(SN)
- 縮寫(縮寫)
- 部門(部門)
- 公司(公司)
- 標題(標題)
- 經理(經理)
- 地點資訊(實體投遞辦公室名稱、街道地址、郵政信箱)
- 工作電話(電話號碼)
- 尋呼機(尋呼機)
- IP電話(ipPhone)
- 其他 IP 電話 (otherIpPhone)
- 縮圖徽標(thumbnailLogo)
- jpeg照片 (jpeg照片)
- 描述(顯示名稱)
謝謝
答案1
雖然 @sysdmin1138 的答案是正確的,但值得一提的是,更改範圍並不是視圖中缺少內容的唯一原因。有些事情無形的預設情況下。
一些物件例如實體送貨辦公室名稱隱藏在視圖中,因此您無法輕鬆委派它們。許多其他屬性也被隱藏,但physicalDeliveryOfficeName 非常具體,可以作為委託工作原理的好例子。
您查看的使用者物件的「每屬性權限」標籤Active Directory 使用者和計算機可能無法顯示使用者物件的每個屬性。這是因為存取控制的使用者介面會過濾掉物件和屬性類型,以使清單更易於管理。雖然物件的屬性是在架構中定義的,但顯示的篩選屬性清單儲存在Dssec.dat文件位於%systemroot%\System32所有網域控制器上的資料夾。您可以編輯文件中物件的條目,以透過使用者介面顯示過濾後的屬性。
過濾後的屬性如下所示Dssec.dat文件:
[User]
propertyname=7
若要顯示物件屬性的讀取和寫入權限,您可以編輯篩選器值以顯示其中一項或兩項權限。若要顯示屬性的讀取和寫入權限,請將值變更為零 (0):
[User]
propertyname=0
若要僅顯示屬性的寫入權限,請將值變更為 1:
[User]
propertyname=1
若要僅顯示屬性的讀取權限,請將值變更為 2:
[User]
propertyname=2
編輯 Dssec.dat 檔案後,必須登出並重新啟動 Active Directory 使用者和電腦才能查看不再篩選的屬性。該文件也是特定於計算機的,因此在一台計算機上更改它不會更新所有其他計算機。是否希望它隨處可見取決於您。
完整故事關於實體送貨辦公室名稱以及如何使用螢幕截圖更改它可以在我的部落格中閱讀。
PS1。由於physicalDeliveryOfficeName 是特殊情況,修改此設定後查找讀/寫辦公地點。不幸的是這個名字實體送貨辦公室名稱永遠不會出現。
PS2。除非透過修改 dssec.dat 來發現這些設置,否則您將無法看到它們。由於此文件是每台計算機的,因此完全有可能它在某些計算機上可見,而在其他計算機上不可見,具體取決於是否有人較早進行了更改。這可以解釋為什麼你可以在之前看到它,而在以後就看不到它。
PS3。很抱歉復活,但只是花了幾個小時試圖找到原因,所以我想我會分享它以供將來參考。
答案2
我相信要獲得完整列表,您必須將“應用到”更改為“用戶”而不是“此物件和所有子物件”。這會更改屬性選擇對話框以包含所有這些。
答案3
轉到“高級”ACL 編輯器。添加應授予權利的委託人。在“[主體名稱] 的權限”對話方塊中,轉到“屬性”選項卡,在“應用到:”清單中選擇“使用者物件”,然後從清單中選擇屬性和所需的權限。
我抽查了你的大部分清單,在那裡找到了我要找的所有東西。