Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Active Directory, Berechtigung für Feld Nachname

Mitglied: bioperiodik

bioperiodik (Level 1) - Jetzt verbinden

03.11.2009 um 15:29 Uhr, 7601 Aufrufe, 4 Kommentare

Guten Tag,

Ich bin gerade dabei die Verwaltungsrechte für unser Active Directory zu delegieren bzw mich mit diesem Thema zu beschäftigen.

Bisher finde ich mich auch gut zurrecht und hab schon die meisten Berechtigungen gesetzt.
Allerdings kann ich die Schreibberechtigung für ein paar Felder nicht finden. Ich hab auch schon google bemüht, allerdings ohne Erfolg.

Es handelt sich dabei um die Felder Nachname, Büro und E-Mail.

Ich finde einfach keine Berechtigung mit denen ich das Schreiben in diese Felder erlauben kann.

Hat von euch jemand einen Tipp bzw. weis wo ich das Berechtigen kann?

Vielen Dank im Vorraus
Seb
Mitglied: Yusuf-Dikmenoglu
03.11.2009 um 16:56 Uhr
Salut,

die Attribute die hinter den Feldern stehen erfährst du von hier:

[LDAP://Yusufs.Directory.Blog/ - Die Active Directory-Attribute hinter den Feldnamen]
http://blog.dikmenoglu.de/Die+Active+DirectoryAttribute+Hinter+Den+Feld ...


Nun kannst du z.B. in der DACL (Discretionary Access Control List) oder idealer mit DSACLS
die Berechtigungen setzen. Der Befehl für das Feld "Büro" sieht z.B. so aus:

DSACLS "<DeineOU>" /G "<Dein/ Benutzer/Gruppe>:RPWP;physicaldeliveryofficename;user" /I:S


Du versuchst vermutlich über den Delegierungsassistenten dort in der GUI die Berechtigungen zu setzen.
Das funktioniert darüber standardmäßig nicht, denn der Assistent zeigt "out-of-the-Box" nicht alle Attribute dort an.
Sonst wäre das auch viel zu unübersichtlich.

Wenn du also möchtest, dass das Feld "Büro", also dass Attribut "physicaldeliveryofficename" im Assistenten erscheint,
musst du das in der Datei "dssec.dat" die du im Verzeichnis "%systemroot%\System32\" findest vorher zum Vorschein bringen.
Erst dann kannst du das Attribut im Assistenten auswählen. Das Feld Nachname (das Attribut "sn") im Übrigen genauso.

In der dssec.dat Datei musst du ganz unten, im Absatz "[USER]" den Wert hinter den einzelnen Attributen von "7" auf "0" ändern.

Die Delegierung mit DSACLS hat aber den Vorteil, dass man die delegierten Rechte einfach wieder entfernen kann.
Des Weiteren ist es für die Dokumentation hilfreich und nachvollziehbar.


Was das Thema "Objektveraltung" anbetrifft, schau dich auch auf diesen Seiten um:

[LDAP://Yusufs.Directory.Blog/ - Active Directory|Objektverwaltung]
http://blog.dikmenoglu.de/CategoryView,category,Active%2BDirectory%2cOb ...


Viele Grüße
Yusuf Dikmenoglu
Bitte warten ..
Mitglied: bioperiodik
03.11.2009 um 19:56 Uhr
Ah wunderbar, das klingt ja sehr vielversprechend! Werd ich morgen gleich mal ausprobieren.

Die Seite hab ich auch schon gefunden, gibt sehr viele gute Tipps und Hinweise zu diesem Thema, allerdings hab ich für dieses Problem keine Lösung gefunden.
Sieht so aus als obs deine Seite wär? Dickes Lob, die Seite hat mich schon sehr viel weiter gebracht!

Naja...also das es wegen der besseren Übersichtlichkeit weggelassen wurde glaub ich ja weniger...ich meine da gibts unwichtigere Dinge als den Nachnamen oder das Büro...sonst ist da ja auch jeder Käse drin ;)

Aber danke für den Hinweis, ich werd beide Möglichkeiten mal testen!
Hab jetzt schon ewig gesucht aber nix dergleichen gefunden...aber sowas hab ich mir irgendwie schon gedacht, also das ein paar Elemente wahrlos weggelassen wurden ;)

Vielen Dank und noch einen schönen Abend
Bitte warten ..
Mitglied: Yusuf-Dikmenoglu
03.11.2009 um 21:05 Uhr
Ja, dass ist meine Seite.

Das Design, was im Delegierungsasssistenten dargestellt wird und was nicht, wurde aus (US) Sicht so festgelegt.
Für die Mausschubser-Brigarde hat Redmond dann noch die Option eingebaut (dssec.dat), die restlichen Attribute im Assistenten sichtbar zu machen.

Derjenige der sich mit der Materie auskennt, benötigt den Assistenten erst garnicht und stolpert auch nicht über das fehlen der Attribute.
Denn der Profi verwendet eher DSACLS in Verbindung eines Skripts oder über die DACL. Die Attribute auf die man die Rechte erteilen möchte,
findet der Kenner ebenfalls schnell heraus.

Komfortabler ist es eben die Delegierung mit dem Kommandozeilentool DSACLS durchzuführen. Die Delegierung lässt sich dann auch relativ fix wieder entfernen.


Gruß, Yusuf dikmenoglu
Bitte warten ..
Mitglied: bioperiodik
03.11.2009 um 21:15 Uhr
Das stimmt wohl, bin aber noch kein Kenner ;)

Sind meine ersten Gehversuche auf diesem Gebiet und da bietet sich der Assistens ja an.

Allerdings werd ich mir jetzt auch mal das Kommandozeilentool näher anschauen, klingt ja sehr interessant.
Die Sache mit dem Assistenten ist ja teilweise schon etwas umständlich und Klickintensiv!

Ich werd auf deine Seite zurückgreifen, und bei Problemen einfach dich nerven :D

Gruß
Sebastian
Bitte warten ..
Ähnliche Inhalte
CMS

Xibo Berechtigungen bzw. Login mit Active Directory verbinden

Frage von ZelgiusCMS1 Kommentar

Hallo werte Administratoren, ich hätte wieder einmal eine Frage. Vor 3 Monaten habe ich in meiner Firma mittels Xibo ...

Windows Userverwaltung

Berechtigung im Active Directory für das Attribut mail verweigern

gelöst Frage von ShadovvWindows Userverwaltung6 Kommentare

Hallo Community, ich habe folgendes Problem, für das ich beim besten Willen keine Lösung finde: Ich habe mir im ...

Windows Server

Active Directory Vertrauensstellung

Frage von ukulele-7Windows Server11 Kommentare

Ich muss sagen das ist meine erste Vertrauensstellung. Ich habe sie in unserer alten AD ads.domain.local Windows 2003 und ...

Windows Server

Mit Tastenkürzel im Active Directory navigieren?

gelöst Frage von Fish01Windows Server3 Kommentare

Hallo! Folgender Fall als Beispiel: Habe in einer OU ca. 100 User und möchte zB: bei jedem User kontrollieren, ...

Neue Wissensbeiträge
Google Android

Googles "Android Enterprise Recommended" für Unternehmen

Information von kgborn vor 10 StundenGoogle Android3 Kommentare

Hier eine Information, die für Administratoren und Verantwortliche in Unternehmen, die für die Beschaffung und das Rollout von Android-Geräten ...

Sicherheit

Intel gibt neue Spectre V2-Microcode-Updates frei (20.02.2018)

Information von kgborn vor 10 StundenSicherheit

Intel hat zum 20. Februar 2018 weitere Microcode-Updates für OEMs freigegeben, um Systeme mit neueren Prozessoren gegen die Spectre ...

Microsoft
ARD-Doku - Das Microsoft Dilemma
Tipp von Knorkator vor 13 StundenMicrosoft3 Kommentare

Hallo zusammen, vor einigen Tagen lief in der ARD u.a. Reportage. Das Youtube Video dazu dürfte länger verfügbar sein. ...

Windows 10

Neue Sicherheitslücke in Windows 10 (Version 1709) durch Google öffentlich geworden

Information von kgborn vor 1 TagWindows 10

Vor ein paar Tagen haben Googles Sicherheitsforscher vom Projekt Zero eine Sicherheitslücke im Edge-Browser publiziert. Jetzt wurde eine weitere ...

Heiß diskutierte Inhalte
Windows Server
AD DS findet Domäne nicht, behebbar?
Frage von schapitzWindows Server40 Kommentare

Guten Tag, ich habe bei einem Kunden ein Problem mit den AD DS. Umgebung ist folgende: Windows Server 2016 ...

Router & Routing
LANCOM VPN CLIENT einrichten
Frage von Finchen961988Router & Routing27 Kommentare

Hallo, ich habe ein Problem und hoffe ihr könnt mir helfen, wir haben einen Kunden der hat einen Speedport ...

Router & Routing
ISC DHCP 2 Subnetze
gelöst Frage von janosch12Router & Routing19 Kommentare

Hallo, ich betreibe bei mir im Netzwerk einen ISC DHCP Server auf Debian, der DHCP verwaltet aktuell ein /24 ...

Switche und Hubs
Cisco SG350X-48 AdminIP in anderes VLAN
Frage von lcer00Switche und Hubs14 Kommentare

Hallo zusammen, ich habe ein Problem mir einem Cisco SG350X-48 bei der Erstinstallation wurde eine IP 192.168.0.254 (Default VLAN ...