Active Directoryユーザーオブジェクトの特定の属性へのアカウント書き込みアクセスを許可する

@ sysdmin1138の回答は正解でしたが、スコープを変更することがビューから欠落している唯一の理由ではないことに言及する価値があります。デフォルトでは見えないものがあります。

physicalDeliveryOfficeNameなどの一部のオブジェクトは表示されないため、簡単に委任できません。他の多くの属性も非表示になっていますが、physicalDeliveryOfficeNameは非常に具体的であり、委任でどのように機能するかを示す良い例となる可能性があります。

Active Directoryユーザーとコンピューターを通じて表示するユーザーオブジェクトの[プロパティごとのアクセス許可]タブには、ユーザーオブジェクトのすべてのプロパティが表示されない場合があります。これは、アクセス制御のユーザーインターフェイスがオブジェクトとプロパティの種類を除外して、リストの管理を容易にするためです。オブジェクトのプロパティはスキーマで定義されていますが、表示されるフィルターされたプロパティのリストは、次の場所にあるDssec.datファイルに保存されますすべてのドメインコントローラー上の％systemroot％\ System32フォルダー。ファイル内のオブジェクトのエントリを編集して、ユーザーインターフェイスを介してフィルターされたプロパティを表示できます。

フィルターされたプロパティは、Dssec.datファイルでは次のようになります。

[User]
propertyname=7

オブジェクトのプロパティの読み取りおよび書き込み権限を表示するには、フィルター値を編集して、1つまたは両方の権限を表示します。プロパティの読み取り権限と書き込み権限の両方を表示するには、値をゼロ（0）に変更します。

[User]
propertyname=0

プロパティの書き込み権限のみを表示するには、値を1に変更します。

[User] 
propertyname=1

プロパティの読み取り権限のみを表示するには、値を2に変更します。

[User]
propertyname=2

Dssec.datファイルを編集した後、Active Directoryユーザーとコンピューターを終了して再起動し、フィルターされなくなったプロパティを確認する必要があります。また、ファイルはマシン固有であるため、1つのマシンでファイルを変更しても、他のすべてのマシンは更新されません。どこにでも表示したいかどうかはあなた次第です。

physicalDeliveryOfficeName の詳細とスクリーンショットで変更する方法については、私のブログをご覧ください。

PS1。 physicalDeliveryOfficeNameは特殊なケースであるため、この設定を変更した後、Officeの場所の読み取り/書き込みを探します。残念ながら、名前physicalDeliveryOfficeNameは表示されません。

PS2。 dssec.datを変更してこれらの設定が明らかにされない限り、それらを表示することはできません。このファイルはコンピューターごとなので、誰かが以前に変更を行ったかどうかによって、一部のコンピューターでは表示され、他のコンピューターでは表示されない可能性があります。これは、なぜ前にそれを見ることができ、後で見ることができなかったのかを説明することができます。

PS3。復活して申し訳ありませんが、原因を見つけるために数時間を費やしただけなので、今後の参考のために共有するつもりです。