我不认为这是可能的,但我认为无论如何:如果用户完全控制AD中的用户对象(即他们可以夺取所有权或更改ACL),是否可能限制他们写入某些属性,但保留他们的读取权限?特别是我对限制感兴趣的是uidNumber和gidNumber。
答案 0 :(得分:1)
权限是每个属性,因此您可以在适用于所有用户对象的域(或OU)的根目录中添加可继承权限,以拒绝写入这些属性。
拒绝始终优先于允许,因此它应该有效。
答案 1 :(得分:1)
只要有人完全控制对象(或者是域管理员),他们最终将能够编辑这些属性值,以及执行其他任何操作。这里似乎存在流程/信任问题,而不是您需要解决的技术问题。