我在Active Directory中进行权限分配时遇到问题。我希望域示例中的“user1”能够编写和更新用户帐户的AD属性,即“mS-DS-ConsistencyGuid”。我已通过 dsacls 分配了权限,但我仍然收到了权限错误:
Set-ADObject:执行操作的访问权限不足
这是dsacls获取承载我尝试修改的用户帐户的OU的结果
Inherited to account
Allow EXAMPLE\user1 SPECIAL ACCESS for mS-DS-ConsistencyGuid <Inherited from parent>
WRITE PROPERTY
READ PROPERTY
在大多数在线示例中,我将“继承到用户/组/计算机”视为类别,但我不知道这是否与错误有关。 你能帮我理解我错过的东西吗?谢谢!
答案 0 :(得分:0)
这是你运行的命令? 我遇到了同样的问题,需要将InheritedObjectType从account更改为user:
KO
dsacls "OU=xxxx,DC=dom1,DC=dom2" /I:S /g dom1\User1:WPRP; mS-DS-ConsistencyGuid;account
行
dsacls "OU=xxxx,DC=dom1,DC=dom2" /I:S /g dom1\User1:WPRP; mS-DS-ConsistencyGuid;user