22
LDAP Probleme, Erklärung
Hallo,
ich würde gerne aus MS Access den Zugriff auf meinen Domänencontroller erlangen über die LDAP Anbindung.
Leider bekomme ich die Meldung das die Referenzauswertung wurde vom Server zurückgesendet.
Durch die LDAP Anbindung kann ich doch alle möglichen Informationen von einem Benutzer erhalten, richtig ???
Wie setzt sich eiegntlich LDAP zusammen, was muss man definitiv für die Verbindung aufbauen zu können angeben. ???
MacToolz
ich würde gerne aus MS Access den Zugriff auf meinen Domänencontroller erlangen über die LDAP Anbindung.
Leider bekomme ich die Meldung das die Referenzauswertung wurde vom Server zurückgesendet.
Durch die LDAP Anbindung kann ich doch alle möglichen Informationen von einem Benutzer erhalten, richtig ???
Wie setzt sich eiegntlich LDAP zusammen, was muss man definitiv für die Verbindung aufbauen zu können angeben. ???
MacToolz
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 47727
Url: https://administrator.de/contentid/47727
Printed on: April 24, 2024 at 18:04 o'clock
22 Comments
Latest comment
ahoi.
ich persönlich wusste nicht mal dass man mit access aufs active-directory zugreifen kann, aber man lernt halt nie aus.
also für den zugriff benötigst du:
den servernamen / die ip
den port (normalerweise 389)
einen benutzer inkl. kennwort der active directory leserechte hat (hat schon ein "domänen-gast")
im besten fall noch eine basis-dn (das ist das start verzeichnis welches er als stamm hernimmt)
zum browsen empfehle ich die den softerra ldap browser
kostet nix und damit kannst du dir mal dein active directory anschauen.
http://www.ldapbrowser.com/download.htm
Grüsse
Kosh
ich persönlich wusste nicht mal dass man mit access aufs active-directory zugreifen kann, aber man lernt halt nie aus.
also für den zugriff benötigst du:
den servernamen / die ip
den port (normalerweise 389)
einen benutzer inkl. kennwort der active directory leserechte hat (hat schon ein "domänen-gast")
im besten fall noch eine basis-dn (das ist das start verzeichnis welches er als stamm hernimmt)
zum browsen empfehle ich die den softerra ldap browser
kostet nix und damit kannst du dir mal dein active directory anschauen.
http://www.ldapbrowser.com/download.htm
Grüsse
Kosh
Hi,
könnt ihr mir den erklären wie der Aufbau von LDAP sein soll.
Also aus Access geht das schon. Kleine Erfolge hatte ich aj auch schon.
z.B. LDAP://Domänennamen, ...........
MacToolz
könnt ihr mir den erklären wie der Aufbau von LDAP sein soll.
Also aus Access geht das schon. Kleine Erfolge hatte ich aj auch schon.
z.B. LDAP://Domänennamen, ...........
MacToolz
zur anmerkung: du suchst infos zum aufbau von active directory.
ldap ist wie der name schon sagt (Lightweight Directory Access Protocol) nur das protokoll das verwendet wird um daten eines verzeichnsdienstes abzurufen oder zu modifizieren.
das active directory schema zu erklären würde jetzt den rahmen dieses posts sprengen daher mal ein link zur technischen referenz:
http://technet2.microsoft.com/WindowsServer/en/library/92b3b6cb-9eb3-4d ...
am einfachsten wäre es du lädtst dir mal den open geposteten ldap-browser runter, verbindest dich mit deinem DC und siehst dir einfach die struktur in deiner domäne an.
dann siehst du auch am leichtesten wie du zu den infos im AD kommst die du benötigst.
ldap ist wie der name schon sagt (Lightweight Directory Access Protocol) nur das protokoll das verwendet wird um daten eines verzeichnsdienstes abzurufen oder zu modifizieren.
das active directory schema zu erklären würde jetzt den rahmen dieses posts sprengen daher mal ein link zur technischen referenz:
http://technet2.microsoft.com/WindowsServer/en/library/92b3b6cb-9eb3-4d ...
am einfachsten wäre es du lädtst dir mal den open geposteten ldap-browser runter, verbindest dich mit deinem DC und siehst dir einfach die struktur in deiner domäne an.
dann siehst du auch am leichtesten wie du zu den infos im AD kommst die du benötigst.
Hi,
den LDAP Brwoser habe ich mir runtergeladen aber darin bekommeich auch nicht die Anmeldung.
Es kommt die Meldung das kein Zugriff auf LDAP Server.
Ich habe sogar als Anemdlung nicht die anonyme genommen.
Port 389 ist auch frei.
MacToolz
den LDAP Brwoser habe ich mir runtergeladen aber darin bekommeich auch nicht die Anmeldung.
Es kommt die Meldung das kein Zugriff auf LDAP Server.
Ich habe sogar als Anemdlung nicht die anonyme genommen.
Port 389 ist auch frei.
MacToolz
wenn du den browser offen hast, in der linken spalte rechtsklick auf "browserstamm" und dann auf "neues profil"
danach gibst du der verbindung einen namen, dann musst du folgende einstellungen angeben:
host: ip-adresse eines Domaincontrollers
anschluss: 389
protokollversion: 3
Basis-DN: leer
und unter anmeldeinformationen:
benutzer-dn: benutzername mit entsprechenden rechten
kennwort: is klar
anonyme bindung: ausgehakt
danach gibst du der verbindung einen namen, dann musst du folgende einstellungen angeben:
host: ip-adresse eines Domaincontrollers
anschluss: 389
protokollversion: 3
Basis-DN: leer
und unter anmeldeinformationen:
benutzer-dn: benutzername mit entsprechenden rechten
kennwort: is klar
anonyme bindung: ausgehakt
Hi,
so habe ich alles versucht.
Was meinst du mit dem EBnutzer mit den passenden Rechten. Admin ???
Muss der denn sein. Weil dieses Script sollen ja dann für einige Gruppenrichtlinienobjekte greifen.
Mein Ziel ist es, die Gruppe von dem Anmeldenden auslesen, dann dementsprechend sein Netzwerklaufwerk der Abteilung verbinden.
Selbst so wie du mir mitgeteilst hast wie es gehen soll kommt, zwar links im Fenster jetzt eine Auflistung der Verzeichnisstruktur nur weiter aufbrechen kann ih den dann nicht. Darin steht dann die MEldung [Fehler 1 Operation Error]
MacToolz
so habe ich alles versucht.
Was meinst du mit dem EBnutzer mit den passenden Rechten. Admin ???
Muss der denn sein. Weil dieses Script sollen ja dann für einige Gruppenrichtlinienobjekte greifen.
Mein Ziel ist es, die Gruppe von dem Anmeldenden auslesen, dann dementsprechend sein Netzwerklaufwerk der Abteilung verbinden.
Selbst so wie du mir mitgeteilst hast wie es gehen soll kommt, zwar links im Fenster jetzt eine Auflistung der Verzeichnisstruktur nur weiter aufbrechen kann ih den dann nicht. Darin steht dann die MEldung [Fehler 1 Operation Error]
MacToolz
achsoooo. du willst scripten. sag das doch gleich ; )
warum fummelst du dann mit access rum?
einen benutzernamen und das kennwort brauchst du bei einem logon-script natürlich nicht um aufs AD zuzugreifen.
blick mal hier:
http://technet2.microsoft.com/WindowsServer/en/library/8a268d3a-2aa0-44 ...
das dort angeführte script liest unter anderem aus dem active directory aus in welchen gruppen sich der user befindet welcher das script ausführt, und mappt dan dementsprechende netzlaufwerke.
warum fummelst du dann mit access rum?
einen benutzernamen und das kennwort brauchst du bei einem logon-script natürlich nicht um aufs AD zuzugreifen.
blick mal hier:
http://technet2.microsoft.com/WindowsServer/en/library/8a268d3a-2aa0-44 ...
das dort angeführte script liest unter anderem aus dem active directory aus in welchen gruppen sich der user befindet welcher das script ausführt, und mappt dan dementsprechende netzlaufwerke.
Hi,
ich dachte das mit dem Scripten wäre klar. Aber in Access geht das doch auch, zumindest kann man daraus ein VBS machen.
Vorallem kenne ich mit Access aus und kann es sehr leicht für den Debuggmodus nutzen, das ist der Hauptgrund.
Ich bin mal gespannt was das Script her gibt. Nicht desto trotz bekomme ich keine Verbindung über LDAP hin.
ICh kann dir leider nicht sagen warum.
Wie würde denn die LDAP Verbindung aussehen mit allen nötigen Daten. ???
Ich verstehe das LDAP nicht ???
MAcToolz
ich dachte das mit dem Scripten wäre klar. Aber in Access geht das doch auch, zumindest kann man daraus ein VBS machen.
Vorallem kenne ich mit Access aus und kann es sehr leicht für den Debuggmodus nutzen, das ist der Hauptgrund.
Ich bin mal gespannt was das Script her gibt. Nicht desto trotz bekomme ich keine Verbindung über LDAP hin.
ICh kann dir leider nicht sagen warum.
Wie würde denn die LDAP Verbindung aussehen mit allen nötigen Daten. ???
Ich verstehe das LDAP nicht ???
MAcToolz
Nochmal zum Mitschreiben: Hier gehts um Active Directory und nicht um LDAP ; )
Ich fasse es mal kurz:
nehmen wir an du willst dich mit deinem domänenstamm per ldap verbinden, dann sieht das ungeführ so aus:
LDAP:Domaincontroller/DC=meinedomain,DC=meindomainsuffix
Also du betreibst die domain: test.local mit einem Windows 2003 Domaincontroller mit der IP 192.168.0.2
Daraus folgt: LDAP:192.168.0.2/DC=test,DC=local
Dann gibts noch die Organisationseinheiten (bekannt aus Active Directory Benutzer und Computer). Du hast in deinem Stamm eine OU: MeineUser, und darunter eine OU: Buero
Wenn du nun in die Organisationseinheit "Buero" willst, siehst so aus:
LDAP://192.168.0.2/OU=Buero,OU=MeineUser,DC=test,DC=local
Die Objekte im ActiveDirectory sprichst du mit CanonicalName (CN) an. ( zB Eine Benutzergruppe)
Und diese Objekte haben Attribute.
Ein Userobjekt hat zB: description, telephoneNumber, displayName, undsoweiter....
So schauts aus.
Hier noch ein Link wo beschrieben wird wie eine Suche im ActiveDirectory funktioniert.
http://technet2.microsoft.com/WindowsServer/en/library/8196d68e-776a-4b ...
Ich fasse es mal kurz:
nehmen wir an du willst dich mit deinem domänenstamm per ldap verbinden, dann sieht das ungeführ so aus:
LDAP:Domaincontroller/DC=meinedomain,DC=meindomainsuffix
Also du betreibst die domain: test.local mit einem Windows 2003 Domaincontroller mit der IP 192.168.0.2
Daraus folgt: LDAP:192.168.0.2/DC=test,DC=local
Dann gibts noch die Organisationseinheiten (bekannt aus Active Directory Benutzer und Computer). Du hast in deinem Stamm eine OU: MeineUser, und darunter eine OU: Buero
Wenn du nun in die Organisationseinheit "Buero" willst, siehst so aus:
LDAP://192.168.0.2/OU=Buero,OU=MeineUser,DC=test,DC=local
Die Objekte im ActiveDirectory sprichst du mit CanonicalName (CN) an. ( zB Eine Benutzergruppe)
Und diese Objekte haben Attribute.
Ein Userobjekt hat zB: description, telephoneNumber, displayName, undsoweiter....
So schauts aus.
Hier noch ein Link wo beschrieben wird wie eine Suche im ActiveDirectory funktioniert.
http://technet2.microsoft.com/WindowsServer/en/library/8196d68e-776a-4b ...
Hi,
also danke für den Link und die Erklärung.
Jetzt habe ich versucht die LDAP Anbindung durchzuführen und zwar so.
Set tempLDAP = GetObject("LDAP://10.2.111.31/DC=FST31B111,DC=G1")
Ich schaue mir die Variabel tempLDAP an und diese enthält keine Werte.
Ist das so richtig ???
MacToolz
also danke für den Link und die Erklärung.
Jetzt habe ich versucht die LDAP Anbindung durchzuführen und zwar so.
Set tempLDAP = GetObject("LDAP://10.2.111.31/DC=FST31B111,DC=G1")
Ich schaue mir die Variabel tempLDAP an und diese enthält keine Werte.
Ist das so richtig ???
MacToolz
wie "GetObject" schon sagt, willst du dir ja ein objekt holen.
du hast ihm aber nur den pfad angegeben.
nehmen wir an du willst einen bestimmten pc rauspicken, der heisst "PC01" und befindet sich in der OU "MeinePCs".
Set PC01 = GetObject("LDAP://10.2.111.31/CN=PC01,OU=MeinePCs,DC=FST31B111,DC=G1")
du hast ihm aber nur den pfad angegeben.
nehmen wir an du willst einen bestimmten pc rauspicken, der heisst "PC01" und befindet sich in der OU "MeinePCs".
Set PC01 = GetObject("LDAP://10.2.111.31/CN=PC01,OU=MeinePCs,DC=FST31B111,DC=G1")
Hi,
vielleicht solte ich mal kurz meine Aufgabenstellung anbringen.
Ich würde gerne anhand des angemeldeten Benutzers heruasfinden in welcher Gruppe er sich befindet.
Den Anmeldename ist ja schnell herausgefunden über
Set wshNetwork = CreateObject("WScript.Network")
Dann wäre mein Ansatz über die LDAP Anbindung herauszufinden in welcher Gruppe dieser sich befindet. Anschließend würde ich Anhand der Gruppe die NEtzwerklaufwerkverbindung herstellen.
So habe ich gerde versucht die LDAP Anbindung aufzubauen, nur mal so dein Vorschlag testen.
Dann kam aber die Meldung das dieses Objekt auf dem Server nicht vorhanden ist.
Set tempLDAP = GetObject("LDAP://10.2.111.31/CN=B111FST31-31,OU=OU_Einkauf,DC=FST31B111,DC=G1")
MacToolz
vielleicht solte ich mal kurz meine Aufgabenstellung anbringen.
Ich würde gerne anhand des angemeldeten Benutzers heruasfinden in welcher Gruppe er sich befindet.
Den Anmeldename ist ja schnell herausgefunden über
Set wshNetwork = CreateObject("WScript.Network")
Dann wäre mein Ansatz über die LDAP Anbindung herauszufinden in welcher Gruppe dieser sich befindet. Anschließend würde ich Anhand der Gruppe die NEtzwerklaufwerkverbindung herstellen.
So habe ich gerde versucht die LDAP Anbindung aufzubauen, nur mal so dein Vorschlag testen.
Dann kam aber die Meldung das dieses Objekt auf dem Server nicht vorhanden ist.
Set tempLDAP = GetObject("LDAP://10.2.111.31/CN=B111FST31-31,OU=OU_Einkauf,DC=FST31B111,DC=G1")
MacToolz
erinnerst du dich noch an den link oben?
versuch mal:
Set ADSysInfo = CreateObject("ADSystemInfo")
Set CurrentUser = GetObject("LDAP://" & ADSysInfo.UserName)
strGroups = LCase(Join(CurrentUser.MemberOf))
MsgBox(strGroups)
das geht.
versuch mal:
Set ADSysInfo = CreateObject("ADSystemInfo")
Set CurrentUser = GetObject("LDAP://" & ADSysInfo.UserName)
strGroups = LCase(Join(CurrentUser.MemberOf))
MsgBox(strGroups)
das geht.
Hi,
ja den Link kenne ich noch.
Das Problem ist das auch diese Variabeln leer bleiben.
Und nu????????
Ich habe keine Ahnung woran das liegen kann.
MacToolz
ja den Link kenne ich noch.
Das Problem ist das auch diese Variabeln leer bleiben.
Und nu????????
Ich habe keine Ahnung woran das liegen kann.
MacToolz
wenn du die im obigen post geschriebenen zeilen in ein textfile kopierst und das ganze als .vbs abspeicherst und dann ausführst, dann wirft er dir ne messagebox aus wo alle gruppen drinstehen in denen sich der momentane benutzer befindet.
bei mir geht das.
also sollte es bei dir auch gehen.
falls die variablen leer bleiben hast du anscheinend noch ein anderes problem.
bei mir geht das.
also sollte es bei dir auch gehen.
falls die variablen leer bleiben hast du anscheinend noch ein anderes problem.
Hi,
kannst du mir denn sagen welches. ???
Ich habe keine ahnung warum ich auf das LDAP keine Verbindung bekomme.
Woran kann es noch liegen.
MacToolz
kannst du mir denn sagen welches. ???
Ich habe keine ahnung warum ich auf das LDAP keine Verbindung bekomme.
Woran kann es noch liegen.
MacToolz
tja das ist ne gute frage.
wenn dein pc mitglied der domain ist, und du mit einem domain user angemeldet bist, dann versteh ich auch nicht warums bei dir nicht geht.
versuch mal das skript auf einem anderen rechner in eurer domain auszuführen.
wenn dein pc mitglied der domain ist, und du mit einem domain user angemeldet bist, dann versteh ich auch nicht warums bei dir nicht geht.
versuch mal das skript auf einem anderen rechner in eurer domain auszuführen.
Hi,
also der Benutzer mit dem ich mich anmelde ich der Administrator den man bei der Installation von AD anlegt, zumindest das Passwort dafür erstellt.
Also ist dieser natürlich auch Mitglied der Domäne.
Das Script kann ich selber nicht woanders ausprobieren ausser bei mir in der VMWare Maschine.
Und leider muss ich wieder die Frage stellen und nu.
Liegt es vielleicht an meinem AD ???
Was musst du wissen um mir dabei helfen zu können. ????
MacToolz
also der Benutzer mit dem ich mich anmelde ich der Administrator den man bei der Installation von AD anlegt, zumindest das Passwort dafür erstellt.
Also ist dieser natürlich auch Mitglied der Domäne.
Das Script kann ich selber nicht woanders ausprobieren ausser bei mir in der VMWare Maschine.
Und leider muss ich wieder die Frage stellen und nu.
Liegt es vielleicht an meinem AD ???
Was musst du wissen um mir dabei helfen zu können. ????
MacToolz
Hi,
also der Benutzer mit dem ich mich anmelde ich der Administrator den man bei der Installation von AD anlegt, zumindest das Passwort dafür erstellt.
Also ist dieser natürlich auch Mitglied der Domäne.
Das Script kann ich selber nicht woanders ausprobieren ausser bei mir in der VMWare Maschine.
Und leider muss ich wieder die Frage stellen und nu.
Liegt es vielleicht an meinem AD ???
Was musst du wissen um mir dabei helfen zu können. ????
MacToolz
also der Benutzer mit dem ich mich anmelde ich der Administrator den man bei der Installation von AD anlegt, zumindest das Passwort dafür erstellt.
Also ist dieser natürlich auch Mitglied der Domäne.
Das Script kann ich selber nicht woanders ausprobieren ausser bei mir in der VMWare Maschine.
Und leider muss ich wieder die Frage stellen und nu.
Liegt es vielleicht an meinem AD ???
Was musst du wissen um mir dabei helfen zu können. ????
MacToolz
Hi,
also der Benutzer mit dem ich mich anmelde ich der Administrator den man bei der Installation von AD anlegt, zumindest das Passwort dafür erstellt.
Also ist dieser natürlich auch Mitglied der Domäne.
Das Script kann ich selber nicht woanders ausprobieren ausser bei mir in der VMWare Maschine.
Und leider muss ich wieder die Frage stellen und nu.
Liegt es vielleicht an meinem AD ???
Was musst du wissen um mir dabei helfen zu können. ????
MacToolz
also der Benutzer mit dem ich mich anmelde ich der Administrator den man bei der Installation von AD anlegt, zumindest das Passwort dafür erstellt.
Also ist dieser natürlich auch Mitglied der Domäne.
Das Script kann ich selber nicht woanders ausprobieren ausser bei mir in der VMWare Maschine.
Und leider muss ich wieder die Frage stellen und nu.
Liegt es vielleicht an meinem AD ???
Was musst du wissen um mir dabei helfen zu können. ????
MacToolz
Hi,
also der Benutzer mit dem ich mich anmelde ich der Administrator den man bei der Installation von AD anlegt, zumindest das Passwort dafür erstellt.
Also ist dieser natürlich auch Mitglied der Domäne.
Das Script kann ich selber nicht woanders ausprobieren ausser bei mir in der VMWare Maschine.
Und leider muss ich wieder die Frage stellen und nu.
Liegt es vielleicht an meinem AD ???
Was musst du wissen um mir dabei helfen zu können. ????
MacToolz
also der Benutzer mit dem ich mich anmelde ich der Administrator den man bei der Installation von AD anlegt, zumindest das Passwort dafür erstellt.
Also ist dieser natürlich auch Mitglied der Domäne.
Das Script kann ich selber nicht woanders ausprobieren ausser bei mir in der VMWare Maschine.
Und leider muss ich wieder die Frage stellen und nu.
Liegt es vielleicht an meinem AD ???
Was musst du wissen um mir dabei helfen zu können. ????
MacToolz
ich schick dir ne pn bevor der thread ins unendliche auswächst....
