Рейтинг:1

Невозможно переименовать DN, используя учетные данные доверенного пользователя домена

флаг in

У меня есть два AD, в которых существуют двусторонние отношения доверия (лесные и транзитивные). Доверенные домены — trust1.com и trust2.com.

Я создал AD-User (TEST1) в trust2.com, используя учетные данные администратора доверенного домена (trust1.com). Но я не могу переименовать имя пользователя компьютера с TEST1 на TEST2, используя учетные данные администратора trust1.com.

Я вижу, что ldap_rename выдает ошибку о недостаточном доступе пользователя. Путаница здесь заключается в том, что пользователь может добавить, используя учетные данные доверенного домена, но не может переименовать.

Параметры, передаваемые функции ldap_rename, 
int ldap_rename_s(ld, dn, newrdn, newparent, deleteoldrdn, sctrls[], cctrls[] );
DN: CN=TEST1,CN=Компьютеры,DC=trust2,DC=com
newrdn: cn=TEST2
новый родитель: CN=Компьютеры,dc=trust2,dc=com
удалитьoldrdn = 1

Нужно ли мне делать что-то еще перед выполнением этой операции?

Рейтинг:0
флаг ng

Стандартные параметры безопасности для домена Active Directory позволяют всем пользователям, прошедшим проверку подлинности, добавлять новые компьютеры, в то время как вместо этого вам необходимо быть администратором (или иметь определенные права доступа), чтобы переименовывать или удалять компьютеры.

Похоже, ваша учетная запись администратора в trust1.com не имеет прав администратора в trust2.com, поэтому она рассматривается как обычный пользователь: она может добавлять новые компьютеры в домен, но не может управлять существующими (включая один сама создала).

Это действительно нормально, потому что доверие домена само по себе не позволяет администраторам одного домена управлять другим, и наоборот; для этого вам необходимо предоставить права администратора в trust2.com пользователям или группам из trust1.com, либо явно (с помощью ACL), либо поместив их в локальную группу домена администраторов.

user2956014 avatar
флаг in
Привет @Massimo Я могу изменить после добавления пользователей доверенного домена в группу администраторов доверенного домена. Большое спасибо за вашу помощь. Но одна вещь, которую я все еще путаю, это то, что он смог добавить (как вы также сказали, что он может добавить), но он смог удалить, а только изменить (переименовать) не работал.
Massimo avatar
флаг ng
Добавление, удаление и изменение требуют разных разрешений; это зависит от настроек вашего домена. По умолчанию для всех пользователей разрешено только добавление (присоединение), я не знаю о ваших настройках безопасности. Возможно, ваш домен разрешает удаление для всех пользователей или для того, кто первым присоединился к компьютеру. Изменение существующего объекта также требует других прав.
Massimo avatar
флаг ng
В любом случае, суть в том, что администраторы в доверенном домене не являются автоматически администраторами в доверенном домене; вам нужно явно сделать их такими.
Massimo avatar
флаг ng
Если мой ответ помог вам, пожалуйста, не забудьте проголосовать и принять его.
user2956014 avatar
флаг in
Ты мне ответ помог многое понять, Я сделал, проголосовал, но выдает ошибку Спасибо за ответ! Чтобы проголосовать, вам нужно как минимум 15 репутации, но ваши отзывы были записаны.

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.