none
Делегирование прав на редактирование AD (простой вопрос на засыпку) RRS feed

  • Вопрос

  • ИМЕЕТСЯ: контроллер домена Win 2003 sp2 Stnd. Edition

     

    НЕОБХОДИМО: предоставить права определённому Пользователю домена на редактирования через ADUC (Active Directory Users & Computers) одного из атрибутов объекта Пользователь. А конкретно того, который в пОле Office (Комната).

     

    ПИМЕЧАНИЕ: через adsiedit.msc этот атрибут под именем physicalDeliveryOfficeName.

     

    Раз сто пролистал весь список доступных разрешений, но нужного не нашёл. Есть возможность назначить разрешение на изменение группы разрешений "Личная информация" ("Personal Information"), но это уже предоставление лишних! прав на несколько атрибутов (полей) ADUC. А мне нужно право на редактирование только одного атрибута (поля).

     

     

     

    15 сентября 2008 г. 13:41

Ответы

Все ответы

  • Вас спасет Dssec.dat

    Смотрите тут http://support.microsoft.com/kb/296490

    15 сентября 2008 г. 15:15
    Модератор
  • Спасибо большое, sie!

     

    • Предложено в качестве ответа MiSchum 6 июня 2019 г. 3:57
    • Отменено предложение в качестве ответа Vector BCOModerator 6 июня 2019 г. 5:01
    18 сентября 2008 г. 10:40
  • Стоклнулся с такой же проблемой. Не могу дать простому юзеру (HR менеджеру) права на редактирование поля Office для пользователей, находящихся в определённом OU.

    Сходил по ссылке про dssec.dat http://support.microsoft.com/kb/296490 . Изучил.
    Несмотря на то, что в секции [user] установлено physicalDeliveryOfficeName=0 , это property не появляется.

    Когда идём в закладку Security требуемого OU, нажимаем Advanced , выбираем пользователя, которому хотим дать права, на закладке Properties в окне Permission Entry for <OU name> в списке Apply onto выбираем User obects , то в списке Permissions требуемого property нет.

    Что делаю не так?
    • Предложено в качестве ответа MiSchum 6 июня 2019 г. 3:55
    • Отменено предложение в качестве ответа MiSchum 6 июня 2019 г. 3:55
    17 декабря 2009 г. 11:31
  • Если подключение к DC происходит с другого ПК с консолью администрирования, то манипуляции с dssec.dat необходимо проводить на нем.

    Иными словами, где запускается консоль администрирования, там и править dssec.dat