Active Directory Предоставить пользователям определенные разрешения
Я пытаюсь найти способ, с помощью которого пользователи могут изменить название должности или адрес в Active Directory. . Я отправил им пакетный файл, как показано ниже, чтобы они могли искать себя в AD
@echo off
start Rundll32 dsquery.dll OpenQueryWindow
. Пока все хорошо. Проблема в том, что пользователи не могут изменить свою информацию. Кажется, она предназначена только для чтения.
После некоторого поиска в Интернете я обнаружил, что это может иметь какое-то отношение к разрешениям в Exhange 2010.
Итак, я взглянул на Политику назначения ролей по умолчанию, и кажется он установлен правильно. В нем включена вся «MyContactInformation».
При переходе к веб-почте -> Параметры я могу редактировать некоторую информацию, и она сохраняется в AD, так что это работает, но я не вижу таких полей, как Должность.
Есть ли там другим способом (без использования сторонних инструментов) пользователи могут изменить свое название и отдел?
Приветствую,
Леннарт
Пожалуйста, проверьте этот связанный случай , в данном случае Robbie_Roberts предоставил две опции, позволяющие пользователям самостоятельно редактировать название должности (Powershell или ECP). Это связано с Exchange RBAC. Я провел тест с ECP, вот команды:
New-ManagementRole -name "Mail Recipients Custom" -Parent "Mail Recipients"
Get-managementRoleEntry "Mail Recipients Custom\*" | where { $_.Name –ne "Set-User"} | Remove-ManagementRoleEntry
Set-ManagementRoleEntry "Mail Recipients Custom\Set-User" -Parameters Identity,Title,Department
Get-managementRoleEntry "Mail Recipients\Get-*" | Add-ManagementRoleEntry -Role "Mail Recipients Custom"
New-ManagementRoleAssignment -name "test" -Role "Mail Recipients Custom" -User a01 -RecipientRelativeWriteScope Self
New-ManagementRoleAssignment -role "View-Only Recipients" –user a01
Затем я получаю доступ к ECP с учетной записью a01 и могу редактировать свою работу и отдел, обратите внимание, что он может просматривать информацию других пользователей без редактирования.
Надеюсь, это будет полезно.
Вы можете использовать что-то вроде этого: https: // gallery.technet.microsoft.com/scriptcenter/GUI-for-AD-User-Attribute-b6ac7251 и адаптироваться к вашим потребностям.
Я также видел это в сочетании с системами тикетов как «порталы самообслуживания».
В зависимости от ваших навыков написания сценариев вы можете разработать простой веб-сайт, который запускает соответствующие сценарии PowerShell.
Нет прямого способа сделать это пользователем, хотя это возможно с помощью скриптов.
rundll32 dsquery, OpenQueryWindow может это сделать, если AD имеет право изменять обязательные поля в их учетной записи AD была включена.
Другие методы, такие как использование сценариев dsmod или powershell, были бы слишком сложными для обычного пользователя, но если вы можете заставить их правильно запускаться для них, это может быть альтернативой.