我为Active Directory内的用户创build了一些自定义属性,并且还创build了一个用于loginAD的基本帐户,以便它可以读取这些属性以及AD中的标准属性。
我已将用户分配给“域用户”,但用户只能读取自定义标准属性和非标准属性。 我需要什么明确的权限给这个用户,所以它可以从AD读取自定义属性?
如果您查看AD中对象的“安全”选项卡,则会看到域用户没有任何明确的权限。 每个用户具有的身份都是Authenticated Users组和Everyone组的成员(这些组是特殊的安全主体,而不是真正的组,因此无法进行pipe理)。 如果您查看这两个组的AD对象的权限,您将看到他们对这些对象有什么权限。 您可能想要做的是使用控制委派向导(作用域适当的容器或OU)授予您的用户Read all user information 。
这很大程度上取决于你的AD设置,并最终定制inheritance等。
确保应该能够读取属性的用户/组具有在目标节点上授予的访问权限(通过inheritance可以直接或者更好地访问)。 要设置访问权限,请转到广告中的所需节点(例如OU),并将相关属性的读取权限添加到所需的用户/组(通过目标上的安全设置)。