...
- Откройте свойство Безопасность (Security) объекта (домена, контейнера или подразделения), в котором содержатся пользователи системы Рутокен KeyBox.
- Нажмите Дополнительно (Advanced). Нажмите кнопку Добавить (Add). Щелкните Выбрать субъект (Select a principal).
- В текстовом поле Введите имена выбираемых объектов (Enter the object name to select) введите имя сервисной учетной записи (servicecm) и нажмите ОК.
- В раскрывающемся списке Применяется к (Applies to) выберите Дочерние объекты: Пользователь (Descendant User objects).
- В списке Разрешений (Permissions) поставьте галочки напротив:
- Список содержимого (List contents).
Прочитать все свойства (Read all properties).
Info По умолчанию разрешение на чтение всех свойств пользователя имеется у всех учетных записей домена. - Сброс пароля (Reset password) — требуется для возможности Сброса пароля пользователя через интерфейс системы.
- В списке Свойств (Properties) выберите пункты:
- Запись: pwdLastSet (Write pwdLastSet) — требуется для возможности сброса пароля пользователя.
- Запись: thumbnailPhoto (Write thumbnailPhoto) или Запись: jpegPhoto (Write jpegPhoto) — требуется для возможности Загрузки фотографии пользователю в Active Directory через интерфейс системы.
- Запись: userAccountControl (Write userAccountControl) - — необходима для работы опции Требовать логин по смарт-карте.
- Запись: userCertificate (Write userCertificate) - — требуется для возможности Публиковать сертификат КриптоПро 2.0 в профиль пользователя Active Directory.
- Нажмите ОК и затем Применить (Apply).
| Warning |
|---|
| Установите одинаковый набор прав сервисной учетной записи для каждого объекта (домена, контейнера или подразделения), в котором располагаются пользователи Рутокен KeyBox. |
Если в домене чтение всех свойств пользователя запрещено политиками безопасности, то выдайте сервисной учетной записи права на чтение только необходимых атрибутов пользователей по таблице 1 и атрибутов объекта (домена, контейнера или подразделения), в котором располагаются пользователи Рутокен KeyBox.
- В оснастке Редактирование ADSI (ADSI edit) откройте свойство Безопасность (Security) объекта (домена, контейнера или подразделения), в котором содержатся пользователи системы Рутокен KeyBox.
- Для области применения Этот объект и все дочерние объекты (This object and all descendant objects):
- В списке Разрешений (Permissions) выберите Список содержимого (List contents).
- В списке Свойств (Properties) выберите пункты:
— Чтение: сanonicalName (Read сanonicalName);
— Чтение: Distinguished Name (Read Distinguished Name);
— Чтение: objectClass (Read objectClass);
— Чтение: objectGuid (Read objectGuid);
— Чтение: showInAdvancedViewOnly (Read showInAdvancedViewOnly).
3. Для области применения Дочерние объекты: Пользователь (Descendant user objects):
- В списке Разрешений (Permissions) отметьте Список содержимого (List contents).
- В списке Свойств (Properties) выберите чтение (запись) следующих наборов свойств и атрибутов, соответствующих таблице 1:
—Чтение: личные сведения (Read personal Information)
—Чтение: общие сведения (Read general Information)
—Чтение: ограничения учетной записи (Read account restrictions)
—Чтение: открытые сведения (Read public Information)
—Запись: pwdLastSet (Write pwdLastSet)
—Запись: thumbnailPhoto (Write thumbnailPhoto) или Запись: jpegPhoto (Write jpegPhoto)
—Запись: userAccountControl (Write userAccountControl)
—Запись: userCertificate (Write userCertificate)