Какое разрешение необходимо для чтения атрибутов AD?
Я создал несколько настраиваемых атрибутов для пользователей внутри Active Directory, а также создал базовую учетную запись для входа в AD, чтобы он мог их читать атрибуты, а также стандартные в AD.
Я назначил пользователя в "Пользователи домена" но пользователь может читать только стандартные атрибуты, а не пользовательские. Какое явное разрешение мне нужно дать этому пользователю, чтобы он мог читать настраиваемые атрибуты из AD?
Если вы посмотрите на вкладку «Безопасность» объекта в AD, вы увидите, что у пользователей домена нет явных разрешений. Однако у каждого пользователя есть членство в группе «Прошедшие проверку» и «Все» (которые являются особыми участниками безопасности и не являются настоящими группами и не могут управляться как таковые). Если вы посмотрите разрешения на объект AD для этих двух групп, вы увидите, какие разрешения они имеют для этих объектов. Что вы, вероятно, захотите сделать, так это использовать мастер делегирования управления (с областью действия до соответствующего контейнера или подразделения), чтобы предоставить вашему пользователю прочитать всю информацию о пользователе .
Это сильно зависит от вашей настройки AD и, в конечном итоге, от настроек наследования и т. Д.
Убедитесь, что пользователю / группе, которые должны иметь возможность читать атрибуты, предоставлен этот доступ в месте назначения узлы (либо прямые, либо, вероятно, лучше через наследование). Чтобы настроить доступ, перейдите к нужным узлам (например, OU) в объявлении и добавьте доступ для чтения для рассматриваемых атрибутов желаемым пользователям / группам (с помощью настройки безопасности на целевом объекте).