web-dev-qa-db-ja.com

Exchange / ADで「属性1〜15」を委任するにはどうすればよいですか?

次の属性がExchangeユーザーに存在し、これが私の同僚に表示されます:(ロックに注意してください)

attributes with locks

  • これらの属性に読み取りアクセス(または必要に応じて読み取り書き込み)を適切に委任するにはどうすればよいですか?

私を失望させていることの1つは、属性がADアカウント/連絡先にも存在するが、GUIがないことです。また、これらの属性の委任も許可したいと思います。

ADに欠けている概念は、「継承」がどのように機能するか、および継承の状況でアクセス許可がどこに適用されるかということだと思います。 (ExchangeユーザーはADユーザーのスーパーセットですが、Exchangeには、アクティブ同期など、ADユーザーレベルには存在しないものがいくつかあります)。

「交換」状況と「AD状況」で権限を委任する方法を理解することは、おそらく私の知識のギャップがどこにあるかということです。

1

Active Directoryユーザーとコンピューターの[制御の委任]ウィザードを使用して、この属性の制御を委任できます。

  1. 制御を委任するユーザーアカウントを含むOUを右クリックします。委任制御を選択します。
  2. [制御の委任ウィザードへようこそ]ダイアログで[次へ]をクリックします。
  3. これらの権限を付与するグループまたはユーザーを入力します。次。
  4. [委任するカスタムタスクを作成する]を選択します。次。
  5. 「以下のオブジェクトのみ..」を選択し、ユーザオブジェクトをチェックします。次。
  6. [一般]をオフにし、[プロパティ固有]をオンにします。見つかるまで下にスクロールします

    Read extensionAttribute1
    Write extensionAttribute1
    Read extensionAttribute10
    Write extensionAttribute10
    

これらは、ExchangeでCustomAttribute1などとして表示される " ms-Exch-Extension-Attribute-XX "属性のlDAPDisplayName値です。

制御を委任する属性を確認し、[次へ]、[完了]の順にクリックして、委任ウィザードを完了します。

これらの属性は、最初に[表示]メニューの[高度な機能]を有効にすることで、ActiveDirectoryユーザーとコンピューターで確認できます。 ADユーザーのプロパティを表示すると、属性エディターという名前の追加のタブが表示されます。 [属性エディター]タブの[フィルター]をクリックし、[値を持つ属性のみを表示する]のチェックを外すと、上記のextensionAttribute1などを含むそのオブジェクトで使用可能なすべての属性が表示されます。

ActiveDirectoryモジュールがインストールされている場合は、PowerShellを使用してこれらの値を表示および設定することもできます。

表示:

Get-ADUser <username> -Properties extensionattribute1  

セット:

Set-ADUser <username> -Add @{"extensionattribute1"="Your Value Here"}

クリア:

Set-ADUser <username> -Clear extensionattribute1
3
brandon