我有一个Active Directory域中的用户帐户。 尽pipe此用户帐户已设置“ 读取个人信息”和“ 写入个人信息”权限,但在以此用户身份login时,我无法更改他们的名字或姓氏。
什么实际的访问权限来读取个人信息和写入个人信息 ? 是否有任何简单的方法来找出任何“一般”权限(即任何不是读/写thisAndThat属性的权限 )?
DC是Windows 2012计算机,我正在使用Windows 7 SP1中的Active Directory用户和计算机 ( dsa.msc )访问它。
根据这篇文章,这些权限影响这些属性:
streetAddress homePostalAddress assistant info country/region name facsimileTelephoneNumber (fax number) International-ISDN-Number Locality-Name MSMQ-Digests mSMQSignCertificates Personal-Title Phone-Fax-Other Phone-Home-Other Phone-Home-Primary otherIpPhone ipPhonenumber primaryInternationalISDNNumber Phone-ISDN-Primary Phone-Mobile-Other (otherMobile) Phone-Mobile-Primary Phone-Office-Other (otherTelephone) Phone-Pager-Other Phone-Pager-Primary physicalDeliveryOfficeName thumbnailPhoto (Picture) postalCode preferredDeliveryMethod registeredAddress State-Or-Province-Name Street-Address telephoneNumber teletexTerminalIdentifier telexNumber primaryTelexNumber userCert User-Shared-Folder User-Shared-Folder-Other userSMIMECertificate x121Address X509-Cert
用户的名字不包括在这个列表中,所以这些不是授予的适当权限。 “一般信息”是您可以在下面find的名称。
以下是一般的(相当低级的)答案:
属性集存储在CN=Extended-Rights,CN=Configuration,{domain} ; 可读/可写属性集具有在validAccesses属性中设置的第五(16,读)和/或第六(32,写)位。
作为属性集合一部分的任何属性(在CN=Schema,CN=Configuration,{domain}中objectClass设置为attributeSchema任何对象)都将其attributeSecurityGUID属性设置为属性集的rightsGuid值。 一个属性显然可能是一次最多只能有一个属性的成员。
感谢Nathan C指出我正确的方向!