azrael19
Goto Top

Zugriff auf Active Directory via LDAP verhindern

Ich möchte den Zugriff auf ActiveDirectory via LDAP verhindern

Hallo,

ich habe eine ActiveDirectory-Domäne unter Windows 2003 R2 Enterprise Server aufgesetzt. Im ActiveDirectory sind
sensible Daten der Benutzer abgespeichert. Mittels eines LDAP-Browsers habe ich mich dort angemeldet und gesehen,
daß jeder authentifizierter Benutzer alle Informationen aus dem ActiveDirectory auslesen kann.

Ich habe daraufhin allen bis auf den Administratoren den Zugriff entzogen, dann entstand aber ein anderes Problem:
Die Gruppenrichtlinien konnte von den Clients nicht mehr geladen werden, da anscheinend nicht auf das ActiveDirectory
zugegriffen werden kann.

Wie kann ich verhindern, daß jeder angemeldete Benutzer Daten aus dem ActiveDirectory auslesen kann? Kann
man irgendwie den Zugriff auf LDAP over SSL beschränken?

Vielen Dank für Eure Hilfe!!

Stefan

PS: Eine Firewall, die den Port 389 blockiert, führt auch nicht zum Erfolg, da dann eine Benutzeranmeldung nicht
mehr möglich ist.

Content-Key: 72035

Url: https://administrator.de/contentid/72035

Ausgedruckt am: 28.03.2024 um 09:03 Uhr

Mitglied: Dani
Dani 26.10.2007 um 19:19:59 Uhr
Goto Top
Abend Azrael19,
da wirst du keine Chance haben. Denn der Port 389 wird auch mal für die Erstanmeldung eines Benutzers am Client "x" benötigt, GPO, etc....
Warum müsst ihr sensible Daten auch in LDAP speichern?? Da gehört sowas einfach nicht hin!!


Grüße
Dani
Mitglied: Azrael19
Azrael19 26.10.2007 um 19:29:17 Uhr
Goto Top
Abend Azrael19,
da wirst du keine Chance haben. Denn der
Port 389 wird auch mal für die
Erstanmeldung eines Benutzers am Client
"x" benötigt, GPO, etc....
Warum müsst ihr sensible Daten auch in
LDAP speichern?? Da gehört sowas einfach
nicht hin!!


Grüße
Dani

Sensible ist hier schon allein der Account-Name. Aber den kann man
ja nicht wirklich woanders hinspeichern, oder?
Mitglied: Dani
Dani 26.10.2007 um 19:32:30 Uhr
Goto Top
Sensible ist hier schon allein der Account-Name. Aber den kann man
ja nicht wirklich woanders hinspeichern, oder?
Sry, aber soll daran sensibel sein. Versteh da deine Sorge nicht...öffnest Outlook und dort dann das Adressbuch. Wenn du nun das glob. Addressbuch ausgewählt hast, schaust mal in die Eigenschaften eines Benutzers.


Grüße
Dani