设置域账户权限|更新域帐户属性

授予某个域账户可以通过LDAP更新所有域账户属性，如：部门、电话等。请问最低要给这个账户什么权限？

回答：根据您的描述，我对这个问题的理解是：您希望授予某个域用户更新域账号的部门、电话等属性。

根据我的经验，这个目的是可以通过“权限委派”来实现的。比如，我们可以通过下面的方法来使普通用户ts具有读写部门和电话的权限：

a. 打开Active Directory Users and Computer控制台。
b. 右击域用户所在的OU，然后选侧Delegate Control。
c. 点下一步，在Users or Groups中选择对应的用户ts，或者您希望设置特定权限的某个组。然后点下一步。

d. 在Tasks to Delegate对话框中选择Create a custom task to delegate, 然后点下一步。
e. 在Active Directory Object Type对话框中选择Only the following objects in this folder，然后选中下面的User Objects前的复选框并点击“下一步”。您看到的文章来自活动目录seo http://gnaw0725.blog.51cto.com/156601/d-1

f. 在Permissions对话框中选中Property-specific前的对话框，然后在Permissions列表中选中“Read  Department”，“Write Department”，“Read Telephone Number”,“Write Telephone Number”。

g.点下一步并完成权限委派，然后请测试是否工作正常。

另外，如果您希望委派给特定用户其它的权限，并且域中有基于Windows 2008的DC, 那么您可以首先在Active Directory Users and Computer控制台中修改某个测试用户的属性（您希望委派权限的属性），然后双击这个用户账号并点击“Attribute Editor”。之后，您就可以看到刚才修改过的属性，并找到对应的Attribute，从而您可以进一步通过委派权限来使用户可以修改特定属性值。

苏 伟   微软全球技术支持中心