我们正在开发一种工具,该工具将使 Active Directory 用户对象的特定属性与其他地方的员工信息真相的权威来源保持同步,以便当某人的电话号码或经理或位置发生变化时,Active Directory 会自动更新。
对于普通用户,使用委托工具处理这些属性的委托操作很简单,但adminSDHolder应用了 ACL 的受保护用户则比较困难。
使用 UI将 ACE 添加到adminSDHolderACL 时,您只能授予对所有属性(出于安全原因我们不希望这样做)或adminSDHolder对象本身存在的属性的访问权限 - 而不是用户属性(如department.
您如何授予对受保护的用户对象的特定属性的访问权限adminSDHolder?
这是可行的,但只能通过命令行工具 - UI 无法进行更改(并且无法确定这些 ACE 在到位后实际上是什么)。
为了授予对特定用户对象属性的访问权限,例如
telephoneNumber,使用dsacls:这会为该属性创建一个 ACE,这没有意义,
adminSDHolder因为它没有telephoneNumber,但随后会应用于受保护的用户。请注意,UI 工具看起来像这样,您授予这些属性中的每一个以创建不确定的 ACE:
但是,
dsacls "CN=AdminSDHolder,CN=System,DC=example,DC=com"将显示真相: