¿Qué implican los permissions de "Leer información personal" y "Escribir información personal" de Active Directory?

Tengo una count de usuario en un dominio de Active Directory. A pesar de que esta count de usuario tenga los permissions Leer información personal y Escribir información personal establecidos, al iniciar session como usuario, no puedo cambiar su nombre o apellido.

¿Qué acceso real hacen los permissions Leer información personal y Escribir información personal ? ¿Hay alguna manera fácil de averiguar si hay alguno de los permissions "generales" (es decir, cualquier permiso que no sea ​​el atributo Read / Write thisAndThat )?

La DC es una máquina de Windows 2012 y estoy accediendo a ella utilizando Usuarios y equipos de Active Directory ( dsa.msc ) de Windows 7 SP1.

Según este artículo, esos permissions afectan a estos attributes:

 streetAddress homePostalAddress assistant info country/region name facsimileTelephoneNumber (fax number) International-ISDN-Number Locality-Name MSMQ-Digests mSMQSignCertificates Personal-Title Phone-Fax-Other Phone-Home-Other Phone-Home-Primary otherIpPhone ipPhonenumber primaryInternationalISDNNumber Phone-ISDN-Primary Phone-Mobile-Other (otherMobile) Phone-Mobile-Primary Phone-Office-Other (otherTelephone) Phone-Pager-Other Phone-Pager-Primary physicalDeliveryOfficeName thumbnailPhoto (Picture) postalCode prefernetworkingDeliveryMethod registenetworkingAddress State-Or-Province-Name Street-Address telephoneNumber teletexTerminalIdentifier telexNumber primaryTelexNumber userCert User-Shanetworking-Folder User-Shanetworking-Folder-Other userSMIMECertificate x121Address X509-Cert 

El nombre del usuario no se incluye en esta list, por lo que no son los permissions adecuados para conceder. "Información general" es la categoría en la que encontrará el nombre.

Aquí está la respuesta general (más bien de bajo nivel):

Los sets de properties se almacenan en CN=Extended-Rights,CN=Configuration,{domain} ; legibles / escritura tienen el quinto bit (16, leído) y / o el sexto (32, escritura) establecido en el atributo validAccesses .

Cualquier atributo (cualquier object bajo CN=Schema,CN=Configuration,{domain} con objectClass establecido en attributeSchema ) que forma parte del set de properties tiene su attributeSecurityGUID attributeSecurityGUID establecido en el valor de rightsGuid del set de rightsGuid . Un atributo puede aparentemente sólo ser un miembro de hasta una propiedad establecida a la vez.

Gracias a Nathan C por señalarme en la dirección correcta!