Set-ADUser : Insufficient access rights to perform the operation when setting the Title attribute in Active Directory

Представете си, че имате обикновен потребител в Active Directory домейн, примерно Updater@pkg.lab. Искате той да има право да променя полето Title на определен списък с потребители.

Атрибутът Title отразява длъжността (т.е. Job Title) на потребителя в организацията.

За тази цел сте делегирали права Read/Write за атрибута Title в определени организационни единици:

delegateControl

Нека пробваме да променим Title атрибута на потребител User1@pkg.lab от името на Updater@pkg.lab чрез Powershell:

setAdUser_error

С две думи – Access Denied. Но защо става така?

Нека проверим Security-то на User1@pkg.lab чрез уникално мудния и нефункционален диалогов прозорец в Server 2012:

AttributesPermissions

Както виждате – всичко изглежда на ред. Но въпреки това не можем да зададем нова длъжност за User1?

След малко ровене разбрах, че във всички Wizard подобни диалози (Delegation, Security и т.н.) атрибутът Title всъщност е кръстен Job Title! Доста логично, нали?

JobTitleAttribute

Явно е направено за услеснение на администраторите.
Аз лично винаги използвам  ldapDisplayName името на атрибутите и ми е малко странно, когато видя такива “улеснения” 🙂

Нека сега дадем Write права за атрибута с описание “Job Title”:

DelegateControl_JobTitle

DelegateControl_JobTitle_Finish

Сега да пробваме Set-AdUser:

setAdUser_ok

Хоп! Мина без грешка 🙂

Ето как изглежда и диалоговия прозорец със свойствата на User1@pkg.lab:

User1_Title

Job Done!

Leave a Reply

Your email address will not be published. Required fields are marked *