MikeZRed Asked: 2022-09-17 04:46:15 +0800 CST2022-09-17 04:46:15 +0800 CST 2022-09-17 04:46:15 +0800 CST Active Directory 高级权限 - 删除不需要的可能权限(不授予/拒绝) 772 我在 Active Directory / MyDomain / Users 对象上调整用户的高级权限,并找到了一个 MASSIVE 列表,其中列出了要授予/拒绝的可能权限。 其中很多是用于 msExchange 的,我认为它已被完全删除。 有没有办法从列表中删除所有这些不必要的、与 Exchange 相关的权限?找到我真正需要授予的权限需要永远。 我尝试过搜索,但所有结果都只是关于授予/拒绝权限的说明,而不是编辑可能权限列表。 任何帮助将不胜感激! permissions active-directory 1 个回答 Voted Best Answer user1686 2022-09-17T05:30:14+08:002022-09-17T05:30:14+08:00 您可以通过在CN=Schema, CN=Configuration, <baseDN>- 更改isDefunct为TRUE- 处编辑其架构对象或取消选中 AD 架构 MMC 控制台中的“属性处于活动状态”来隐藏单个属性类型的权限。(AD 不支持在添加属性类型后从架构中删除它们,因此将它们标记为已失效是您可以获得的最接近的。) 您可以通过在以下位置编辑其目录对象来隐藏权限组(扩展权限),例如“读取远程访问信息” CN=Extended-Rights, CN=Configuration, <baseDN>——将其validAccesses属性从 48 (16=read + 32=write) 更改为 0。尽管可以完全删除扩展权限,这样做可能不是一个好主意(至少只要任何属性类型的模式条目通过它们的attributeSecurityGUID属性引用它)。
您可以通过在
CN=Schema, CN=Configuration, <baseDN>- 更改isDefunct为TRUE- 处编辑其架构对象或取消选中 AD 架构 MMC 控制台中的“属性处于活动状态”来隐藏单个属性类型的权限。(AD 不支持在添加属性类型后从架构中删除它们,因此将它们标记为已失效是您可以获得的最接近的。)您可以通过在以下位置编辑其目录对象来隐藏权限组(扩展权限),例如“读取远程访问信息”
CN=Extended-Rights, CN=Configuration, <baseDN>——将其validAccesses属性从 48 (16=read + 32=write) 更改为 0。尽管可以完全删除扩展权限,这样做可能不是一个好主意(至少只要任何属性类型的模式条目通过它们的attributeSecurityGUID属性引用它)。