none
Делегирование прав на изменение атрибутов RRS feed

  • Вопрос

  • Есть вполне стандартная задача дать права отдельным пользователям на забивание в АД таких параметров как телефон, должность, компания и прочее, причём все пользователи выделены в отдельный OU в котором ещё куча подразделений.
     
    Это можно реализовать мастером делегирования, просто на закладке безопасность выставить либо скриптом через эксчендж типа

    Add-ADPermission -identity "OU=staff,dc=domain,dc=lan" -User "domain\helpdesk" -AccessRights ReadProperty, WriteProperty -InheritanceType Descendents -Properties department, description, msExchHideFromAddressLists,  -InheritedObjectType User

    Атрибутов добавить по вкусу...

    Но вот засада, как ни крути разрешения даются  только на указанное подразделение и не наследуются вниз, хотя на более низких подразделениях стоит наследование...

    Есть ли у кого удачный опыт решения данной проблемы? Может я где-то туплю?

    23 апреля 2009 г. 5:54

Ответы

  • Прошу прощения нашёл ошибку, везде стоит наследование всё хорошо, а на конкретных 4 пользователях на которых я проверял это наследование почему то снято!

    • Помечено в качестве ответа osr_MVP, Moderator 23 апреля 2009 г. 6:26
    23 апреля 2009 г. 6:20

Все ответы

  • а на указанном подразделении у вас disable heritage не задействован?
    Все вышесказанное является моим личным мнением, не имеющим отношения к корпорации Майкрософт
    23 апреля 2009 г. 6:00
    Модератор
  • Прошу прощения нашёл ошибку, везде стоит наследование всё хорошо, а на конкретных 4 пользователях на которых я проверял это наследование почему то снято!

    • Помечено в качестве ответа osr_MVP, Moderator 23 апреля 2009 г. 6:26
    23 апреля 2009 г. 6:20