Active directory 限制写入广告属性
我认为这是不可能的,但我想我还是会问:如果用户在AD中完全控制用户对象(即,他们可以获取所有权或更改ACL),是否可以限制他们写入某些属性,但保留其读取权限?我特别想限制的是uidNumber和gidNumber。权限是每个属性的,因此您可以在域(或OU)的根目录下添加一个可继承的权限,该权限应用于所有用户对象,以拒绝对这些属性的写入Active directory 限制写入广告属性,active-directory,Active Directory,我认为这是不可能的,但我想我还是会问:如果用户在AD中完全控制用户对象(即,他们可以获取所有权或更改ACL),是否可以限制他们写入某些属性,但保留其读取权限?我特别想限制的是uidNumber和gidNumber。权限是每个属性的,因此您可以在域(或OU)的根目录下添加一个可继承的权限,该权限应用于所有用户对象,以拒绝对这些属性的写入 拒绝总是优先于允许,所以它应该可以工作。权限是针对每个属性的,因此您可以在域(或OU)的根位置添加可继承的权限,该权限应用于所有用户对象,以拒绝对这些属性的写入
拒绝总是优先于允许,所以它应该可以工作。权限是针对每个属性的,因此您可以在域(或OU)的根位置添加可继承的权限,该权限应用于所有用户对象,以拒绝对这些属性的写入
Deny总是优先于Allow,所以它应该可以工作。只要有人完全控制对象(或是域管理员),他们最终将能够编辑这些属性值,以及执行任何其他操作。这里似乎有一个过程/信任问题,而不是您需要解决的技术问题 只要有人能够完全控制对象(或是域管理员),他们最终将能够编辑这些属性值,以及执行任何其他操作。这里似乎有一个过程/信任问题,而不是您需要解决的技术问题 Gabriel,谢谢你的回答,我的问题是管理员可以修改对象的ACL,这样他们就可以停止父容器的继承并删除继承的ACE。这有意义吗?丹妮丝,这是有道理的。但这至少会让他们慢下来:)但最终,完全访问意味着你可以更改任何你想要的。Gabriel,谢谢你的回答,我的问题是管理员可以修改对象的ACL,这样他们就可以停止从父容器继承并删除继承的ACE。这有意义吗?丹妮丝,这是有道理的。但这至少会让他们慢下来:)但最终,完全访问意味着你可以改变任何你想要的。谢谢你花时间来帮助我。这就是我想确认的。我认为模式中可能还有其他地方可以限制这种类型的内容,或者使用预保存回调或触发器来执行额外的验证或限制。是的,我同意这更像是一个过程/信任问题,而不是任何技术问题。感谢您花时间帮助我。这就是我想确认的。我认为模式中可能还有其他地方可以限制这种类型的事情,或者像预保存回调或触发器之类的东西来执行额外的验证或限制。是的,我同意这更像是一个过程/信任问题,而不是任何技术问题。