Как кто-то ограничивает права чтения на определенные пользовательские атрибуты на Active Directory?
Если оперативное обслуживание не будет работать (не наблюдение, что журнал событий является знаком, который это не), затем то не будет никакого пространства, отмеченного для удаления офлайновой дефрагментацией.
Проверьте, что никакое резервное копирование не пытается работать во время набора периодов обслуживания. Вам, вероятно, придется оставить длительный период и отключить резервные копии на, говорят выходные для получения полного просмотра, если этого не произошло прежде.
После того как это завершило оперативное обслуживание, журнал событий скажет Вам, сколько пространства офлайновое восстановится.
Используйте ADSIEdit, можно повредить материал так быть осторожными. (http://technet.microsoft.com/en-us/library/cc773354%28WS.10%29.aspx)
Я никогда не должен был идти, что глубоко, это немного прокладывается под землей. Вы открываете ADSIEdit и добираетесь до объекта, по которому Вы хотите взглянуть на (или целый container/OU), щелкнуть правой кнопкой и перейти к "свойствам".
Нажмите на вкладку безопасности, нажмите "усовершенствованную" кнопку, нажмите на "редактирование" для посматривания на то, что можно сделать (еще не вносите изменения). Вы будете видеть, что стандартные полномочия как "Полный контроль" или "Изменяют Владельца" и выше где он применяет "Этот объект только"
Существует другое право вкладки "Properties", где Вы - где все положительные герои. "Считайте бизнес-роли" и "Адреса прокси Чтения", и такой там.
Можно добавить новую группу, отметить поля, которые Вы любите там, имеете ее, относятся ко всему контейнеру или OU, и необходимо быть хороши пойти.
-
1+1 для общего предупреждения быть uber осторожный с ADSIEdit, но так как это - экземпляр ADAM влияние понимания превратно его, не так серьезен, и он, возможно, должен использовать ADAM ADSIEdit, хотя я не на 100% уверен в этом. technet.microsoft.com/en-us/library/cc755803 (WS.10) .aspx – Helvick 14 September 2010 в 19:57
-
2я забыл указывать, что это - сервер Windows 2003 R2. Эта версия ADSIEdit только имеет "Редактор атрибутов", когда Вы щелкаете правой кнопкой и нажимаете свойства. – seekerOfKnowledge 14 September 2010 в 21:16
-
3я шел через шаги с помощью 2 003 R2. Вы уверены учетная запись, которую Вы используете, сделал, чтобы Администратор Домена/Предприятия ввел полномочия, когда Вы выполняете ADSIEdit? Если это не сделает Вас, то вероятно, не станет далеким. – Matt 14 September 2010 в 23:32
Это - действительно функция двух вещей:
Пользовательский контекст, в котором выполняется запрос.
ACE на считанном объекте (объектах).
Мой вопрос Вам находится, под каким пользовательским контекстом работает запрос?
У аутентифицируемых пользователей должна быть способность считать все свойства, если я не ошибаюсь.
Кроме того, необходимо смочь упростить это через Делегацию мастера Управления, а также через ADSIEdit.
-
1Запрос выполняется при пользователе root, который имеет локального администратора, но не администратора домена, который наиболее вероятен проблема, но мы не чувствуем, что нам предоставят администратора домена. Я должен смочь перейти к своему руководителю группы с точно, что это, мы должны запросить быть измененными, и как в моем комментарии к другому вопросу, я должен был указать, что это - сервер Windows 2003 R2. – seekerOfKnowledge 14 September 2010 в 21:18
-
2Действительно ли пользователь root является пользователем домена? У пользователя есть учетная запись в домене запрошенной? – joeqwerty 14 September 2010 в 21:27
http://support.microsoft.com/kb/281146
Это - командная строка, эквивалентная из вкладки безопасности в снимке Windows Active Directory - в инструментах, таких как Пользователи Active Directory и Компьютеры и Сайты Active Directory и Сервисы.
Синтаксис является забавой учиться, но я смог успешно запретить доступа на среде песочницы с ADAM использование Приглашения командной строки ADAM с:
dsacls "\localhost\OU=ouname, OU=ou2name, DC=domainname, DC=domainname2"/d domain\group:GR
/d отклоняет domain\group GR (Универсальное чтение), который включает много свойств как proxyAddresses, улица и многие другие. Я должен буду попросить, чтобы они допустили, что корень группы является членом GR, или сделайте меня другим пользователем или чем-то. Так или иначе мы поняли это.