Представете си, че имате обикновен потребител в Active Directory домейн, примерно Updater@pkg.lab. Искате той да има право да променя полето Title на определен списък с потребители.

Атрибутът Title отразява длъжността (т.е. Job Title) на потребителя в организацията.

За тази цел сте делегирали права Read/Write за атрибута Title в определени организационни единици:

Нека пробваме да променим Title атрибута на потребител User1@pkg.lab от името на Updater@pkg.lab чрез Powershell:

С две думи – Access Denied. Но защо става така?

Нека проверим Security-то на User1@pkg.lab чрез уникално мудния и нефункционален диалогов прозорец в Server 2012:

Както виждате – всичко изглежда на ред. Но въпреки това не можем да зададем нова длъжност за User1?

След малко ровене разбрах, че във всички Wizard подобни диалози (Delegation, Security и т.н.) атрибутът Title всъщност е кръстен Job Title! Доста логично, нали?

Явно е направено за услеснение на администраторите.
Аз лично винаги използвам  ldapDisplayName името на атрибутите и ми е малко странно, когато видя такива “улеснения” 🙂

Нека сега дадем Write права за атрибута с описание “Job Title”:

Сега да пробваме Set-AdUser:

Хоп! Мина без грешка 🙂

Ето как изглежда и диалоговия прозорец със свойствата на User1@pkg.lab:

Job Done!