HOWTO - 设置委派的 Active Directory 权限
我创建了 ac# webservice,它允许我们的前端支持团队使用 system.directoryservices 查看和更新一些选定的 Active Directory 值。
我要更新的字段是 [职位] 职称、部门、电话和员工 ID。
我可以使用具有“代表权限”的服务帐户来更新[职位]职称、部门、电话等。但是当我尝试更新员工 ID 时,我收到一条“未经授权”的错误消息。
如果我使用域管理员帐户,那么相同的代码可以正常工作。
我不想为此网络服务使用域管理员帐户,那么我需要什么权限?
I've created a c# webservice that allows our front end support teams to view and update a few selected Active Directory values using system.directoryservices
Fields that I want to update are [job] title, department, telephone and employeeid.
I can use a service account with "delegates rights" to update [job] title, department, telephone etc. but when I try to update employeeid I get an "not authorised" error message.
If I use a domain admin account then the same code works fine.
I don't want to use a domain admin account for this webservice, so what privileges do I need?
如果你对这篇内容有疑问,欢迎到本站社区发帖提问 参与讨论,获取更多帮助,或者扫码二维码加入 Web 技术交流群。
绑定邮箱获取回复消息
由于您还没有绑定你的真实邮箱,如果其他用户或者作者回复了您的评论,将不能在第一时间通知您!
发布评论
评论(3)
答案
ADS_SCHEMA_ID_GUID_USER GUID 允许您更新基本用户类详细信息,包括员工 ID
基于 MSDN 文章
用于向服务帐户用户授予所选委派权限的 vbscript:
ANSWER
The ADS_SCHEMA_ID_GUID_USER GUID allows you to update the base user class details, including the employee id
Based on MSDN article
The vbscript used to grant to the service account user the selected delegated rights:
代码示例(至少是移动部分)
(我为我的 C# 表示歉意)
A sample of the code (the moving parts at least)
(I do apologise for my c#)
你们服务的用户是否有权通过AD用户和计算机修改这些字段?
如果是的话,那么也许您可以使用模拟,并使您的服务主机“受信任委托”(在 AD 属性中)对我来说总是工作得很好。
do users of your service have the rights to modify those fields through AD users and computers?
if they are then maybe you can use impersonation and just make your service host computer "trusted for delegation" (in AD properties for it) always worked fine for me.