我们正在开发一种工具,该工具将使 Active Directory 用户对象的特定属性与其他地方的员工信息真相的权威来源保持同步,以便当某人的电话号码或经理或位置发生变化时,Active Directory 会自动更新。
对于普通用户,使用委托工具处理这些属性的委托操作很简单,但adminSDHolder应用了 ACL 的受保护用户则比较困难。
使用 UI将 ACE 添加到adminSDHolderACL 时,您只能授予对所有属性(出于安全原因我们不希望这样做)或adminSDHolder对象本身存在的属性的访问权限 - 而不是用户属性(如department.
您如何授予对受保护的用户对象的特定属性的访问权限adminSDHolder?