В чем проблема ошибки PHP ldap_modify Insufficient access (50) при попытке изменения атрибута AD?
Добрый день, подскажите пожалуйста.
В AD создал отдельную учетную запись, от имени которой собираюсь вносить правки в определенный атрибут AD, тем самым в настройках безопасности корневой OU, добавил данную учетную запись, предоставив право на изменение всем дочерним пользователям необходимого атрибута (в моем случае postofficebox)
Далее с помощью PHP и LDAP модуля успешно авторизуюсь в AD и с помощью функции ldap_mod_replace пытаюсь изменить атрибут. На что получают ошибку: ldap_mod_replace: Insufficient access (50). Якобы недостаточно прав для изменения :/. Но ведь права же дал. Запустив оснастку Active Directory Users and Computer от имени данной учетной записи - успешно могу менять данный атрибут.
Роман Безруков, попробовал: Insufficient access rights to perform the operation
похоже выше обманул, в принципе в Active Directory Users and Computer тоже не даёт редактировать
long_skinny_boy, в этом OU проверьте в свойствах объектов текущие права для вашей особенной учетки, ну и попробуйте повторно выполнить делегирование прав
Роман Безруков, хм, странно, вроде как на OU-шке добавил право, и тут вопрос, должен ли я видеть в настройках безопасности пользователя в этой OU-шке унаследованные права, т.к. сейчас там нет моей особенной учетки :/
а теперь попробовал добавить в настройках безопасности испытуемого пользователя нужное право на изменение атрибута для особенной учетки - так работает скрипт
long_skinny_boy, наследуемые права должны быть видны...для особенной учетки права должны назначаться на OU и применяться для "This object and all descendant objects" или "Descendant User objects"
