У нас есть специальное веб-приложение, интегрированное с Active Directory, которое помогает пользователям выполнять некоторые действия по самообслуживанию в своих учетных записях (например, обновлять фото, изменять номер телефона, сбрасывать пароль и т. д.). Наше приложение работает на серверах, присоединенных к домену, как локальная система, и, таким образом, возможность аутентификации в AD с использованием учетных записей сервера.
Мы используем точку подключения службы, которую клиенты приложения используют для поиска экземпляра нашего приложения. (Клиенты наших приложений жестко закодированы для поиска определенных ключевых слов, опубликованных в атрибуте keywords точки подключения службы.)
Недавно у нас была ситуация, когда кто-то (мы полагаем, что случайно) изменил ключевые слова на одной из точек подключения к сервису, что привело к отключению, так как клиенты больше не могли найти наш SCP при запросе AD по нашему ключевому слову (ключевым словам).
Клиент немного расстроен этим и желает, чтобы мы предоставили ему возможность определять, кто может изменять ключевые слова на наших SCP. Эта обратная связь была передана нам от наших продавцов, и теперь нам нужно предоставить какой-то способ помочь им выяснить, кто может изменять ключевые слова в наших SCP.
Итак, мы ищем API, который поможет нам определить действующие разрешения для наших объектов точки подключения службы Active Directory, чтобы мы могли облегчить эту ситуацию для клиента. Мы не смогли найти эффективный API-интерфейс разрешений/доступа, который помог бы нам перечислить всех пользователей, имеющих действительный доступ на запись к ключевому слову и другим атрибутам в наших SCP.
Есть ли API/другой способ определения действующих разрешений для объекта Active Directory?
Он должен иметь возможность перечислить всех пользователей, которые имеют указанный доступ к указанному набору атрибутов объекта Active Directory.
