Intereting Posts
encryption用户文件夹
DNS当子域是CNAME时,子子域的logging
SMTP在虚拟接口上的多个域
切诺基港口从.htaccess重写URL
改变基于政策的pipe理政策,甚至在过去24小时内发生的事情
iptables / nat / prerouting忽略UDP数据包?
Win2003域控制器电缆调制解调器设置
无法通过s3身份validation来将数据加载到redshift中
“未知的脚本语言VBScript”IIS 7.5 + 2008 R2 SP1
使用两个IP的两个接口的容错性
Windows 7login提示符显示缩写域名“PHOENIX”(域名是:phoenix.domain.com)
iptables防火墙造成不稳定
是否可以在centos中增加特定用户的主目录(例如:/ home / oracle)的大小?
具有多个IP的IPSec / L2TP VPN服务器:连接不同的IP失败
PSQL 64位驱动程序错误
在Active Directory中,如何委派对受保护用户帐户的特定属性的写权限?
我们有一个正在开发的工具,它可以保持活动目录用户对象的特定属性与别处的权威信息来源的员工信息真实性保持同步,以便当别人的电话号码或经理或位置发生变化时,Active Directory会自动更新。
对于普通用户来说,操纵这些属性的委托使用委托工具很容易处理,但受保护的用户(应用adminSDHolder ACL)则更加困难。
当使用UI将ACE添加到adminSDHolder ACL时,您只能授予对所有属性(我们不希望出于安全原因)的访问权限或adminSDHolder对象本身上存在的属性 – 而不是用户属性(如department 。
如何在adminSDHolder的保护下授予访问用户对象的特定属性的权限?
- 如何防止Windows Server将域控制器的外部IP地址添加到DNS?
- AD:域名迁移或重命名?
- 获取Active Directory服务器进行testing的最简单方法
- 权限创build一个spn
- 是否有替代Sysinternals ADInsight?
这是可行的,但只能通过命令行工具 – 用户界面无法做出改变(以及弄清楚这些ACE实际上是在什么地方)。
为了授予对特定用户对象属性(例如telephoneNumber访问权限,请使用dsacls :
dsacls "CN=AdminSDHolder,CN=System,DC=example,DC=com" /G Allow-User-Management:RPWP;telephoneNumber;
这将为该属性创build一个ACE,在adminSDHolder上没有意义,因为它没有telephoneNumber ,而是应用于受保护的用户。
请注意,UI工具将如下所示,您为创buildACE所授予的每个属性都不确定要做什么:
但是, dsacls "CN=AdminSDHolder,CN=System,DC=example,DC=com"将显示事实:
Allow Allow-User-Management SPECIAL ACCESS for sn WRITE PROPERTY READ PROPERTY Allow Allow-User-Management SPECIAL ACCESS for telephoneNumber WRITE PROPERTY READ PROPERTY