Active Directory（2012） - 允许“SELF”读取设置了机密位的属性。

Question

我已经将我的模式扩展为包含一个名为mobilePrivate的字段。我已经将这个属性的searchFlags设置为128位来保密。

现在我试图让用户帐户读取/写入此属性。我有写下来的部分，但当他们尝试读回来时，他们不能。我运行了Windows Sever 2012随附的LDP.EXE工具，并在所有用户所在的OU上给予了NT AUTHORITY \ SELF权限，但仍无法读取它自己的字段。

任何人有任何想法得到这个工作？我需要让用户能够输入他们自己的私人电话号码，而不会在LDAP浏览中显示数据。

Answer 1

据this blog，他们还需要在“控制访问的许可。

CF：将此属性标记为机密。此位将属性标记为 ，因此它只能由具有 特殊权限（“读取”和“控制访问”）的securityPrincipals读取。

此外，请确保您没有任何适用于用户的“拒绝”权限。 '拒绝'优先于'允许'。