我通过在 ADSI 编辑中将其搜索标志设置为 128 将“员工编号”AD 属性标记为“机密”(https://docs.microsoft.com/en-us/troubleshoot/windows-server/windows-security/mark -作为机密的属性。
我已经验证域管理员可以阅读它而非管理员不能。我还验证了 ADFS 服务帐户是域管理员。
但是,如果我尝试通过简单的 ADFS 声明释放该属性,它就不起作用。我还验证了如果我将 SearchFlags 值切换回 0,则声明会按预期释放。