Форум системных администраторов

IT => Windows => Тема начата: Retif от 13 Августа 2019, 15:22:01

Название: proxyAddresses где в Securyty > Advanced > Permissions???
Отправлено: Retif от 13 Августа 2019, 15:22:01
Есть задача. Нужно в одной OU запретить одной служебной учетке запись в атрибут AD proxyAddresses. Туда запретить, а к остальным атрибутам оставить.
Казалось бы просто, идем в Security контейнера, Advanced > Permissions, добавляем учетку, вкладка Properties... и всё, где его искать-то там? Ничего даже близко похожего на proxyAddresses я не нашел.
Название: proxyAddresses где в Securyty > Advanced > Permissions???
Отправлено: Fray от 13 Августа 2019, 15:39:15
Через posh видимо надо


Updated: 13 August 2019, 15:40:25

https://4sysops.com/archives/display-access-rights-on-active-directory-ous-with-powershell/
Название: proxyAddresses где в Securyty > Advanced > Permissions???
Отправлено: Retif от 13 Августа 2019, 16:02:09
Get-Acl показывает только те пермишены, которые уже назначены. А если не назначены, то и не показывает.

Подсказали, тут - Descendant exchangeAdminService objects:

[attachimg=1]


Updated: 13 August 2019, 16:22:19

Или Descendant Account Objects, оно же.
Название: proxyAddresses где в Securyty > Advanced > Permissions???
Отправлено: Retif от 21 Августа 2019, 13:37:50
А вот и фиг. Не оно это. Выставляешь запрет, не действует. Действует запрет Descendant User Objects > Write Public Information.
[attachimg=1]

Но он блочит еще кучу полей, типа имя, фамилия, должность, организация и т.п., на которые нужно оставить возможность записи.
Название: proxyAddresses где в Securyty > Advanced > Permissions???
Отправлено: MVV от 22 Августа 2019, 17:09:23
Вашей беде несложно помочь. Находите в C:\WINDOWS\system32 файл dssec.dat, открывайте Блокнотом, находите секцию [User] (или какой ещё нужный вам тип - Contact и т.п.), в этой секции находите строчку proxyAddresses=7 и меняйте 7 на 0. После этого заново открывайте ADUC и добавляйте запрет ровно там, где вы его хотели добавить - атрибут proxyAddresses теперь появится в списке.
PS Сие документировано в https://support.microsoft.com/en-us/help/296490/how-to-modify-the-filtered-properties-of-an-object-in-acl-editor-for-d
Название: proxyAddresses где в Securyty > Advanced > Permissions???
Отправлено: Retif от 22 Августа 2019, 17:16:46
И после доступен этот параметр будет только на этом контроллере, где редактировали файл?
Название: proxyAddresses где в Securyty > Advanced > Permissions???
Отправлено: MVV от 22 Августа 2019, 17:19:04
Да.
Название: proxyAddresses где в Securyty > Advanced > Permissions???
Отправлено: Retif от 22 Августа 2019, 17:31:45
Находите в C:\WINDOWS\system32 файл dssec.dat, открывайте Блокнотом, находите секцию [User] (или какой ещё нужный вам тип - Contact и т.п.), в этой секции находите строчку proxyAddresses=7 и меняйте 7 на 0. После этого заново открывайте ADUC и
И ничего там не не появилось что-то в  Descendant User Objects ???