Представете си, че имате обикновен потребител в Active Directory домейн, примерно Updater@pkg.lab. Искате той да има право да променя полето Title на определен списък с потребители.
Атрибутът Title отразява длъжността (т.е. Job Title) на потребителя в организацията.
За тази цел сте делегирали права Read/Write за атрибута Title в определени организационни единици:
Нека пробваме да променим Title атрибута на потребител User1@pkg.lab от името на Updater@pkg.lab чрез Powershell:
С две думи – Access Denied. Но защо става така?
Нека проверим Security-то на User1@pkg.lab чрез уникално мудния и нефункционален диалогов прозорец в Server 2012:
Както виждате – всичко изглежда на ред. Но въпреки това не можем да зададем нова длъжност за User1?
След малко ровене разбрах, че във всички Wizard подобни диалози (Delegation, Security и т.н.) атрибутът Title всъщност е кръстен Job Title! Доста логично, нали?
Явно е направено за услеснение на администраторите.
Аз лично винаги използвам ldapDisplayName името на атрибутите и ми е малко странно, когато видя такива “улеснения” 🙂
Нека сега дадем Write права за атрибута с описание “Job Title”:
Сега да пробваме Set-AdUser:
Хоп! Мина без грешка 🙂
Ето как изглежда и диалоговия прозорец със свойствата на User1@pkg.lab:
Job Done!
Leave a Reply