Предоставить учетной записи доступ на запись к определенным атрибутам в объекте пользователя Active Directory

Хотя ответ @ sysdmin1138 был правильным, стоит отметить, что изменение области видимости - не единственная причина, по которой что-то отсутствует в представлении. Есть вещи, которые невидимый по умолчанию.

Некоторые объекты, такие как PhysicalDeliveryOfficeName скрыты от просмотра, поэтому вы не можете легко их делегировать. Многие другие атрибуты также скрыты, но PhysicalDeliveryOfficeName очень специфичен и может быть хорошим примером того, как все работает для делегирования.

Вкладка Per-Property Permissions для пользовательского объекта, который вы просматриваете. Пользователи и компьютеры Active Directory может не отображать все свойства объекта пользователя. Это связано с тем, что пользовательский интерфейс для управления доступом отфильтровывает типы объектов и свойств, чтобы упростить управление списком. Хотя свойства объекта определены в схеме, список отображаемых отфильтрованных свойств сохраняется в Dssec.dat файл, расположенный в % systemroot% \ System32 папка на всех контроллерах домена. Вы можете редактировать записи для объекта в файле, чтобы отобразить отфильтрованные свойства через пользовательский интерфейс.

Отфильтрованное свойство выглядит так в Dssec.dat файл:

[User]
propertyname=7

Чтобы отобразить разрешения на чтение и запись для свойства объекта, вы можете изменить значение фильтра, чтобы отобразить одно или оба разрешения. Чтобы отобразить разрешения на чтение и запись для свойства, измените значение на ноль (0):

[User]
propertyname=0

Чтобы отобразить только разрешение на запись для свойства, измените значение на 1:

[User] 
propertyname=1

Чтобы отобразить только разрешения на чтение для свойства, измените значение на 2:

[User]
propertyname=2

После редактирования файла Dssec.dat необходимо выйти и перезапустить Active Directory - пользователи и компьютеры, чтобы увидеть свойства, которые больше не фильтруются. Файл также зависит от машины, поэтому изменение его на одном компьютере не приводит к обновлению всех остальных. Вам решать, хотите ли вы, чтобы он был виден везде или нет.

Полный рассказ о PhysicalDeliveryOfficeName а как его изменить со скриншотами можно прочитать в моем блоге.

PS1. Поскольку PhysicalDeliveryOfficeName является особым случаем, после изменения этого параметра ищите Чтение / запись местоположения офиса. К сожалению, имя PhysicalDeliveryOfficeName никогда не появляется.

PS2. Если эти настройки не будут обнаружены путем изменения dssec.dat, вы не сможете их увидеть. Поскольку этот файл предназначен для каждого компьютера, вполне возможно, что он будет виден на некоторых компьютерах и не виден на других, в зависимости от того, внес кто-то изменения раньше или нет. Это могло бы объяснить, почему вы могли видеть это раньше, а не позже.

PS3. Извините за воскрешение, но просто потратил несколько часов, пытаясь найти причину, поэтому подумал, что поделюсь этим для дальнейшего использования.

Я считаю, что для получения полного списка вам нужно заменить «Применить на» на «пользователь» вместо «этот объект и все дочерние объекты». Это изменяет диалоговое окно выбора свойства, чтобы включить все это.

Перейдите в редактор ACL «Расширенный». Добавьте принципала, которому должны быть предоставлены права. В диалоговом окне «Разрешение для [имя участника]» перейдите на вкладку «Свойства», выберите «Объекты пользователя» в списке «Применить к:» и выберите свойства и требуемые разрешения из списка.

Я проверил большую часть вашего списка и нашел там все, что искал.