Какие атрибуты меняются? "Этот счет пользователя не существует в Active Directory"

[yayay]

Всем привет! Перешерстил форум, нашел подобные вопросы, но не помогло

Итак, Ахапта 4.0 при попытке включить пользователя ругается: "Этот счет пользователя не существует в Active Directory". Это если у меня права только на чтение AD. Если дают права на редактирование учетных записей в AD, то все в порядке, пользователи включаются как надо.
Но только вот не нужны мне права на редактирование всех атрибутов в АД! И отсюда вопрос - какие атрибуты меняет Аксапта в учетке в АД?

З.Ы. проводился эксперимент с просмотром атрибутов у пользователя в АД до добавления в Аксапту и после оного, различий в них нет. Это значит Аксапта пишет, потом обратно меняет. Но вот что конкретно?

[AlGol]

У нас при зажатых правах на доступ к объектам AD помог следующий рецепт:

нужно явно выставлять права на "чтение объекта пользователя" для пользователя, который запрашивает информацию из АД. По умолчанию такие права обычным юзерам не выдаются.

Возможно, можно обойтись "малой кровью" - снималась трасса снифером и был найден такой ЛДАП-запрос:
(&(&(&(objectClass=user)(objectCategory=person))(samaccountname=username))(userAccountControl:1.2.840.113556.1.4.803:=512))

Если выбросить из него последнее условие (с userAccountControl), то юзер успешно находится под непривелегированным эккаунтом и без выдачи дополнительных прав. Так что, наверное, можно было выдать права только на чтение этого атрибута, чтобы запрос отрабатывал успешно.