“读取个人信息”和“写入个人信息”Active权限包含哪些内容？

Question

我在域中有一个用户帐户。尽管该用户帐户设置了“读取个人信息”和“写入个人信息权限”，但在以该用户身份登录时，我不能更改他们的姓名或姓氏。

权限读取个人信息和写入个人信息需要什么样的实际访问权限？有什么简单的方法可以找到任何“通用”权限(即没有读/写thisAndThat属性的权限)？

DC是一台Windows2012机器，我使用来自Windows7 SP1的Active Directory用户和计算机(dsa.msc)访问它。

Answer 1

以下是一般(相当低水平)的答案：

属性集存储在CN=Extended-Rights,CN=Configuration,{domain}下；可读的/writable属性集在validAccesses属性中具有第五位(16位，读)和/或第六位(32位，写)。

属性集的任何属性( CN=Schema,CN=Configuration,{domain}下的任何objectClass设置为attributeSchema的对象)都将其attributeSecurityGUID属性设置为属性集的rightsGuid值。一个属性一次只能是最多一个属性的成员。

感谢内森C为我指明了正确的方向！

Answer 2

根据这文章，这些权限会影响以下属性：

streetAddress

homePostalAddress

assistant

info

country/region name

facsimileTelephoneNumber (fax number)

International-ISDN-Number

Locality-Name

MSMQ-Digests

mSMQSignCertificates

Personal-Title

Phone-Fax-Other

Phone-Home-Other

Phone-Home-Primary

otherIpPhone

ipPhonenumber

primaryInternationalISDNNumber Phone-ISDN-Primary

Phone-Mobile-Other (otherMobile)

Phone-Mobile-Primary

Phone-Office-Other (otherTelephone)

Phone-Pager-Other

Phone-Pager-Primary

physicalDeliveryOfficeName

thumbnailPhoto (Picture)

postalCode

preferredDeliveryMethod

registeredAddress

State-Or-Province-Name

Street-Address

telephoneNumber

teletexTerminalIdentifier

telexNumber

primaryTelexNumber

userCert

User-Shared-Folder

User-Shared-Folder-Other

userSMIMECertificate

x121Address

X509-Cert

用户名不包括在此列表中，因此这些不是授予的适当权限。“一般信息”是你会在下面找到名字的类别。