web-dev-qa-db-ja.com

Active Directoryユーザーオブジェクトの特定の属性へのアカウント書き込みアクセスを許可する

アカウントがすべてのユーザーオブジェクトの非常に特定の属性を更新できるようにしています。このセキュリティを「ユーザー」オブジェクトに設定しています。 [セキュリティ]タブでアカウントを追加し、詳細設定に移動して、アカウントのアクセス許可を編集し、属性のリストを調べてみると、名などのいくつかの属性しか見つけることができませんが、許可したい属性のほとんどは書き込みがありません。これらの属性への書き込みアクセス権をアカウントに付与するにはどうすればよいですか?

権限を付与する必要がある属性:

  • 名(givenName)
  • 姓(sn)
  • イニシャル(イニシャル)
  • 部署(department)
  • 会社(会社)
  • タイトル(title)
  • マネージャー(マネージャー)
  • ロケーション情報(physicalDeliveryOfficeName、streetAddress、postOfficeBox)
  • 勤務先電話(telephoneNumber)
  • ポケットベル(ポケットベル)
  • IP電話(ipPhone)
  • IP電話その他(otherIpPhone)
  • ThumbnailLogo(thumbnailLogo)
  • jpegPhoto(jpegPhoto)
  • 説明(displayName)

ありがとう

5
Peter

@ sysdmin1138の回答は正解でしたが、スコープを変更することがビューから欠落している唯一の理由ではないことに言及する価値があります。デフォルトでは見えないものがあります。

physicalDeliveryOfficeNameなどの一部のオブジェクトは表示されないため、簡単に委任できません。他の多くの属性も非表示になっていますが、physicalDeliveryOfficeNameは非常に具体的であり、委任でどのように機能するかを示す良い例となる可能性があります。

Active Directoryユーザーとコンピューターを通じて表示するユーザーオブジェクトの[プロパティごとのアクセス許可]タブには、ユーザーオブジェクトのすべてのプロパティが表示されない場合があります。これは、アクセス制御のユーザーインターフェイスがオブジェクトとプロパティの種類を除外して、リストの管理を容易にするためです。オブジェクトのプロパティはスキーマで定義されていますが、表示されるフィルターされたプロパティのリストは、次の場所にあるDssec.datファイルに保存されますすべてのドメインコントローラー上の%systemroot%\ System32フォルダー。ファイル内のオブジェクトのエントリを編集して、ユーザーインターフェイスを介してフィルターされたプロパティを表示できます。

フィルターされたプロパティは、Dssec.datファイルでは次のようになります。

[User]
propertyname=7

オブジェクトのプロパティの読み取りおよび書き込み権限を表示するには、フィルター値を編集して、1つまたは両方の権限を表示します。プロパティの読み取り権限と書き込み権限の両方を表示するには、値をゼロ(0)に変更します。

[User]
propertyname=0

プロパティの書き込み権限のみを表示するには、値を1に変更します。

[User] 
propertyname=1

プロパティの読み取り権限のみを表示するには、値を2に変更します。

[User]
propertyname=2

Dssec.datファイルを編集した後、Active Directoryユーザーとコンピューターを終了して再起動し、フィルターされなくなったプロパティを確認する必要があります。また、ファイルはマシン固有であるため、1つのマシンでファイルを変更しても、他のすべてのマシンは更新されません。どこにでも表示したいかどうかはあなた次第です。

enter image description here

physicalDeliveryOfficeName の詳細とスクリーンショットで変更する方法については、私のブログをご覧ください。

PS1。 physicalDeliveryOfficeNameは特殊なケースであるため、この設定を変更した後、Officeの場所の読み取り/書き込みを探します。残念ながら、名前physicalDeliveryOfficeNameは表示されません。

PS2。 dssec.datを変更してこれらの設定が明らかにされない限り、それらを表示することはできません。このファイルはコンピューターごとなので、誰かが以前に変更を行ったかどうかによって、一部のコンピューターでは表示され、他のコンピューターでは表示されない可能性があります。これは、なぜ前にそれを見ることができ、後で見ることができなかったのかを説明することができます。

PS3。復活して申し訳ありませんが、原因を見つけるために数時間を費やしただけなので、今後の参考のために共有するつもりです。

4
MadBoy

「このオブジェクトとすべての子オブジェクト」ではなく「適用先」を「ユーザー」に変更する必要がある完全なリストを取得すると思います。これにより、プロパティ選択ダイアログが変更され、これらすべてが含まれます。

2
sysadmin1138

「詳細」ACLエディターに移動します。権限を付与する必要があるプリンシパルを追加します。 [[プリンシパル名]のアクセス許可]ダイアログで、[プロパティ]タブに移動し、[適用先]リストで[ユーザーオブジェクト]を選択し、リストからプロパティと必要なアクセス許可を選択します。

私はあなたのリストのほとんどをスポットチェックし、そこで探したすべてを見つけました。

1
Evan Anderson