web-dev-qa-db-ja.com

Active Directoryでは、保護されたユーザーアカウントの特定の属性に対する書き込みアクセス許可をどのように委任しますか?

Active Directoryユーザーオブジェクトの特定の属性を最新の状態に保ち、他の場所にある従業員情報の信頼できる情報源を使用して、誰かの電話番号、マネージャー、または場所が変更されたときにActiveDirectoryが自動的に更新されるようにするツールが開発されています。

通常のユーザーの場合、これらのプロパティへの操作の委任は、委任ツールを使用して簡単に処理できますが、adminSDHolder ACLが適用されている保護されたユーザーは、さらに困難です。

UIを使用してadminSDHolder ACLにACEを追加する場合、すべてのプロパティ(セキュリティ上の理由から不要)またはadminSDHolderオブジェクト自体-departmentのようなユーザープロパティではありません。

adminSDHolderの保護下で、ユーザーオブジェクトの特定のプロパティへのアクセスをどのように許可しますか?

7
Shane Madden

これは実行可能ですが、コマンドラインツールを介してのみ可能です。UIは変更を加えることができません(配置されたACEが実際に何であるかを把握することもできません)。

特定のユーザーオブジェクト属性(telephoneNumberなど)へのアクセスを許可するには、dsaclsを使用します。

dsacls "CN=AdminSDHolder,CN=System,DC=example,DC=com" /G Allow-User-Management:RPWP;telephoneNumber;

これにより、その属性のACEが作成されます。これは、adminSDHolderがないため、telephoneNumberでは意味がありませんが、保護されたユーザーに適用されます。

UIツールは次のようになることに注意してください。これらの各プロパティは、ACEを作成するために許可するものであり、何を作成するかが不明です。

confused-ui

だが、 dsacls "CN=AdminSDHolder,CN=System,DC=example,DC=com"は真実を示します:

Allow Allow-User-Management
                                      SPECIAL ACCESS for sn
                                      WRITE PROPERTY
                                      READ PROPERTY
Allow Allow-User-Management
                                      SPECIAL ACCESS for telephoneNumber
                                      WRITE PROPERTY
                                      READ PROPERTY
7
Shane Madden