¿Qué implican los permissions de "Leer información personal" y "Escribir información personal" de Active Directory?

Tengo una count de usuario en un dominio de Active Directory. A pesar de que esta count de usuario tenga los permissions Leer información personal y Escribir información personal establecidos, al iniciar session como usuario, no puedo cambiar su nombre o apellido.

¿Qué acceso real hacen los permissions Leer información personal y Escribir información personal ? ¿Hay alguna manera fácil de averiguar si hay alguno de los permissions "generales" (es decir, cualquier permiso que no sea ​​el atributo Read / Write thisAndThat )?

La DC es una máquina de Windows 2012 y estoy accediendo a ella utilizando Usuarios y equipos de Active Directory ( dsa.msc ) de Windows 7 SP1.

2 Solutions collect form web for “¿Qué implican los permissions de "Leer información personal" y "Escribir información personal" de Active Directory?”

Según este artículo, esos permissions afectan a estos attributes:

 streetAddress homePostalAddress assistant info country/region name facsimileTelephoneNumber (fax number) International-ISDN-Number Locality-Name MSMQ-Digests mSMQSignCertificates Personal-Title Phone-Fax-Other Phone-Home-Other Phone-Home-Primary otherIpPhone ipPhonenumber primaryInternationalISDNNumber Phone-ISDN-Primary Phone-Mobile-Other (otherMobile) Phone-Mobile-Primary Phone-Office-Other (otherTelephone) Phone-Pager-Other Phone-Pager-Primary physicalDeliveryOfficeName thumbnailPhoto (Picture) postalCode prefernetworkingDeliveryMethod registenetworkingAddress State-Or-Province-Name Street-Address telephoneNumber teletexTerminalIdentifier telexNumber primaryTelexNumber userCert User-Shanetworking-Folder User-Shanetworking-Folder-Other userSMIMECertificate x121Address X509-Cert 

El nombre del usuario no se incluye en esta list, por lo que no son los permissions adecuados para conceder. "Información general" es la categoría en la que encontrará el nombre.

Aquí está la respuesta general (más bien de bajo nivel):

Los sets de properties se almacenan en CN=Extended-Rights,CN=Configuration,{domain} ; legibles / escritura tienen el quinto bit (16, leído) y / o el sexto (32, escritura) establecido en el atributo validAccesses .

Cualquier atributo (cualquier object bajo CN=Schema,CN=Configuration,{domain} con objectClass establecido en attributeSchema ) que forma parte del set de properties tiene su attributeSecurityGUID attributeSecurityGUID establecido en el valor de rightsGuid del set de rightsGuid . Un atributo puede aparentemente sólo ser un miembro de hasta una propiedad establecida a la vez.

Gracias a Nathan C por señalarme en la dirección correcta!

  • Determine la timestamp para el último inicio de session en el server de terminales (2003)
  • Conmutación por error del directory activo
  • Consejos para configurar AD Infrastructure para dos networkinges disjuntas para un entorno de aula
  • Problema de permissions de directory activo sencillo
  • ¿Se pueden almacenar direcciones de correo electrónico arbitrarias en AD userPrincipalName?
  • Replicar a una networking de testing, AD pierde confianza y location de networking
  • ¿Puede una sola instancia de ADCS "retener" más de un espacio de nombres PKI?
  • ¿Por qué mi cliente OSX tiene tantos problemas para conectarse a nuestro server SMB?
  • Autenticación de Cisco IPsec VPN Active Directory
  • Registro de sucesos de security de Windows mostrando gran parte de la regla de firewall modificado alerta
  • ¿Qué hay que hacer / añadir en Apple MacBook Air para join al dominio y ser administrado?
  • ¿Debería una networking de Active Directory usar direcciones IP únicas de IPv6 además de direcciones globales?
  • intercambio de reparación después de eliminar el controller de dominio
  • El linux y los temas del servidor de Windows, como ubuntu, centos, apache, nginx, debian y consejos de red.