是否有可能在Active Directory 2008 OU中委派控制权,以便标准用户能够更新计算机对象的networkAddress属性?
我有login脚本查询WMI的系统制造商,产品名称,序列号和MAC地址的计算机,并将信息保存回活动目录; 该脚本适用于pipe理员。
通过将选定计算机属性的控制委托给标准用户,可以使脚本允许任何人将系统制造商,产品名称和序列号保存到活动目录中,但我找不到任何方法使networkAddress属性可写; 它没有被列为计算机对象(或任何其他类的可写属性)。
有一个替代的属性名称或类我应该期待委托?
networkAddress属性用于存储TCP / IPnetworking的子网,而不是MAC地址。 你最好将这些信息存储在其他属性中。 (你用什么属性来存储制造商,产品和序列号?一般来说,我使用“sn”,“givenName”和“title”,因为这些是“computer”类的有效属性,但不是被电脑使用。)
顺便说一句:从安全angular度来看,使用启动脚本而不是login脚本来做到这一点是可取的。 您可以委派域计算机访问权限来更新目录中的属性,而不是用户。 假设您的用户在PC上没有pipe理员权限,您将获得一定程度的信任,因为非pipe理员用户无法轻松模拟计算机的帐户。