Получите полный доступ ко всем свойствам в ADSI-Editor
Я хочу манипулировать свойствами некоторых пользователей для тестирования puroposes с помощью "adsiedit.msc". Есть ли способ получить полный доступ для редактирования этих значений.
Например, мне нужно отредактировать значения lastLogon или userAccountControl, но я получаю следующие ошибки:
Ошибка при изменении значения lastLogon
Ошибка при изменении значения userAccountControl
Есть ли способ сделать это с или без ADSI-редактора?
2 ответа
Некоторые атрибуты принадлежат системе и никогда не могут обновляться другими методами. https://support.microsoft.com/en-us/kb/276382. Это причина вашей первой ошибки "lastLogon".
Другая ошибка выглядит как сообщение об отказе в доступе (0x5), 4003 - это другая ошибка для INSUFF_ACCESS_RIGHTS. Попробуйте внести изменения с помощью более мощной учетной записи, чтобы изменить целевой объект. Ручная настройка значения битовой маски UAC может быть сложной. Большую часть времени вы изменяете эти значения через поле "Свойства учетной записи" на вкладке "Учетная запись" в инструменте ADUC (пользователи и компьютеры Active Directory).
Нет, ты не можешь.
Некоторые атрибуты зарезервированы, и управлять ими может только ОС. Active Directory — это не просто база данных пользователей, она также управляет аутентификацией пользователей: вы не можете просто заставить какую-то учетную запись пользователя вести себя так, как будто она была чьей-то другой (история SID/SID), или подделать действия пользователя (например, последний вход в систему).
Кроме того, не поддерживаются способы редактирования базы данных Active Directory вручную (ntds.dit); и даже если бы они существовали, репликация AD немедленно пометила бы эти изменения как явно неправильные .
Чего бы вы ни пытались достичь, это не соответствует спецификациям AD и этого делать не следует.