1
DSACLS.exe Berechtigungen einer Gruppe erteilen, die Userattribute in einer bestimmten OU bearbeiten bzw. lesen darf.
DSACLS.exe Berechtigungen einer Gruppe erteilen, die Userattribute in einer bestimmten OU bearbeiten bzw. lesen darf.
Vorlage war hier: http://www.faq-o-matic.net/2008/06/23/ad-adressen-im-sekretariat-bearbe ...
Angepasst auf unsere Umgebung sah es so aus:
set OURoot="OU=AD_Pflge_OU,DC=netz,DC=XXXXXX"
set GROUP=netz\AD_Org_Pflege
set PERM_RW=RPWP
set PERM_R=RP
dsacls %OURoot% /I:S /G %GROUP%:%PERM_RW%;Company;user
dsacls %OURoot% /I:S /G %GROUP%:%PERM_RW%;department;user
dsacls %OURoot% /I:S /G %GROUP%:%PERM_R%;displayName;user
dsacls %OURoot% /I:S /G %GROUP%:%PERM_R%;sAMAccountName;user
Also der Gruppe "AD_Org_Pflege" soll das Recht erteilt werden, dass man die Attribute "Company" und "Department" ändern darf und die Attribute "displayName" und "SAMAccountName" lesen darf und das nur bei Usern, die in der OU "AD_Pflege_OU" sind.
Kennt sich jemand mit dem Tool aus und kann mir sagen, ob das so funktioniert?
So wie es aussieht, kann ein User mit dieser Gruppe alle Attribute schreiben und lesen.
Und andere User können es scheinbar auch.
Die Frage, ob das schon vorher ging, oder wurden jetzt für alle User die Rechte so gesetzt?
Vorlage war hier: http://www.faq-o-matic.net/2008/06/23/ad-adressen-im-sekretariat-bearbe ...
Angepasst auf unsere Umgebung sah es so aus:
set OURoot="OU=AD_Pflge_OU,DC=netz,DC=XXXXXX"
set GROUP=netz\AD_Org_Pflege
set PERM_RW=RPWP
set PERM_R=RP
dsacls %OURoot% /I:S /G %GROUP%:%PERM_RW%;Company;user
dsacls %OURoot% /I:S /G %GROUP%:%PERM_RW%;department;user
dsacls %OURoot% /I:S /G %GROUP%:%PERM_R%;displayName;user
dsacls %OURoot% /I:S /G %GROUP%:%PERM_R%;sAMAccountName;user
Also der Gruppe "AD_Org_Pflege" soll das Recht erteilt werden, dass man die Attribute "Company" und "Department" ändern darf und die Attribute "displayName" und "SAMAccountName" lesen darf und das nur bei Usern, die in der OU "AD_Pflege_OU" sind.
Kennt sich jemand mit dem Tool aus und kann mir sagen, ob das so funktioniert?
So wie es aussieht, kann ein User mit dieser Gruppe alle Attribute schreiben und lesen.
Und andere User können es scheinbar auch.
Die Frage, ob das schon vorher ging, oder wurden jetzt für alle User die Rechte so gesetzt?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 235603
Url: https://administrator.de/contentid/235603
Printed on: April 25, 2024 at 22:04 o'clock
1 Comment
Hi.
"Ob das schon vorher ging" können wir nun nicht beantworten, oder? Du kannst natürlich darum biten, default-ACLs bei anderen Domänen auszulesen, oder dieses selbst tun. Dass andere Nutzer per default keine Schreibrechte auf fremde Objekte haben, sollte jedoch klar sein.
Schau auch mal hier rein: Wie berechtige eine Gruppe auf ein einzelnes Attribut ?
"Ob das schon vorher ging" können wir nun nicht beantworten, oder? Du kannst natürlich darum biten, default-ACLs bei anderen Domänen auszulesen, oder dieses selbst tun. Dass andere Nutzer per default keine Schreibrechte auf fremde Objekte haben, sollte jedoch klar sein.
Schau auch mal hier rein: Wie berechtige eine Gruppe auf ein einzelnes Attribut ?
