Active Directoryユーザーオブジェクトの特定の属性を最新の状態に保ち、他の場所にある従業員情報の信頼できる情報源を使用して、誰かの電話番号、マネージャー、または場所が変更されたときにActiveDirectoryが自動的に更新されるようにするツールが開発されています。
通常のユーザーの場合、これらのプロパティへの操作の委任は、委任ツールを使用して簡単に処理できますが、adminSDHolder
ACLが適用されている保護されたユーザーは、さらに困難です。
UIを使用してadminSDHolder
ACLにACEを追加する場合、すべてのプロパティ(セキュリティ上の理由から不要)またはadminSDHolder
オブジェクト自体-department
のようなユーザープロパティではありません。
adminSDHolder
の保護下で、ユーザーオブジェクトの特定のプロパティへのアクセスをどのように許可しますか?
これは実行可能ですが、コマンドラインツールを介してのみ可能です。UIは変更を加えることができません(配置されたACEが実際に何であるかを把握することもできません)。
特定のユーザーオブジェクト属性(telephoneNumber
など)へのアクセスを許可するには、dsacls
を使用します。
dsacls "CN=AdminSDHolder,CN=System,DC=example,DC=com" /G Allow-User-Management:RPWP;telephoneNumber;
これにより、その属性のACEが作成されます。これは、adminSDHolder
がないため、telephoneNumber
では意味がありませんが、保護されたユーザーに適用されます。
UIツールは次のようになることに注意してください。これらの各プロパティは、ACEを作成するために許可するものであり、何を作成するかが不明です。
だが、 dsacls "CN=AdminSDHolder,CN=System,DC=example,DC=com"
は真実を示します:
Allow Allow-User-Management
SPECIAL ACCESS for sn
WRITE PROPERTY
READ PROPERTY
Allow Allow-User-Management
SPECIAL ACCESS for telephoneNumber
WRITE PROPERTY
READ PROPERTY