Tuesday, October 31, 2006

UserAccountControl attribute'u için hakların ayarlanması.

User objesinin disable/enable veya lockout (windows 2000'de) olup olmadığı gibi durumlarını objenin UserAccountControl attribute'nun numeric değerine göre belirlenir. Bu değerler için objenin durumunu aşağıdaki makalede bulabilirsiniz. Bu değerleri otomatik olarak değiştirmek için veya raporlama amaçlı bu attribute'u kullanarak kolayca script yazabilirsiniz.

http://support.microsoft.com/kb/305144

Bana gelen soru şu olmuştu; operatörlerin kullanıcıları disable/enable edebilme haklarını almak istiyoruz. Fakat OU üzerindeki Security listesinde user objesi için Enable/disable seklinde bir hak yok. Yukarıda da belirttiğim gibi objenin bu gibi durumları objenin UserAccountControl attribute'unun değerine göre belirleniyor. Delegated Users'dan (operatorler) bu hakkı "Account Restrictions" hakkını alarak yapabiliyoruz. Fakat bu Account restriction hakkı, bir çok attribute'a erişimi denetliyor. Yani sadece UserAccountControl attribute'u değil aşağıdaki attribute'ların da haklarını da ayarlıyor.

Property set containing user attributes that describe account restrictions.

Applies to: Computer, User

• accountExpires

• pwdLastSet

• userAccountControl

• userParameters

• tokenGroupsNoGCAcceptable

Active Directory object permissions


Dolayısıyla bu hakkın alınması, operatorun operatorluk işini yapamasina neden olabilir. Bu yüzden gelen isteği reddedip, bu hakkın operatorlerden alınmasını engelledik ve kendi isimizi biraz daha azalttık :>)

No comments: