Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Benutzer mit Lesezugriff für Active Directory via LDAP erstellen

Mitglied: mika-do

mika-do (Level 1) - Jetzt verbinden

30.01.2008, aktualisiert 03.03.2008, 17197 Aufrufe, 3 Kommentare

Wie kann man einen Benutzer erstellen, der nur Lesezugriff auf das Active Directory hat? (Für LDAP Abfrage)

Hallo zusammen,

ich möchte in einer Software die Benutzerverwaltung über das Active Directory laufen lassen, auf welches via LDAP zugegriffen wird. Ein entsprechender Menüpunkt ist in der Software auch vorhanden. Ich habe die Einstellungen soweit vorgenommen und es funktioniert.

Das ganze läuft in einer 2003er Umgebung mit einem Domänencontroller

Nun zu meiner Frage:

Das Programm erfordert zwingend einen Benutzernamen und Kennwort mit Leserechten auf dem LDAP Server. Testweise habe ich einfach mal meine Login-Daten eingegeben und das funktioniert ja auch wie bereits erwähnt.

Wie kann ich also nun einen Benutzer einrichten, der NUR die Leseberechtigung auf das Active Directory hat. Dieser Benutzer soll sich nicht an der Domäne also über eine Workstation anmelden können und auch sonst KEINE Rechte haben.

Verständnisfrage:

Ist dieser Schritt überhaupt notwendig, oder kann ich das Programm einfach mit den Administrator Daten füttern? Würde ich eigentlich nicht so gerne machen, weil:

1. Ich nicht weiss, wie die Daten im Programm selbst verschlüsselt werden
2. Die LDAP-Übertragung ja nicht verschlüsselt ist - oder ist es mit wenig Aufwand möglich eine SSL-Verbindung mit Zertifikat für LDAP einzuführen?
3. Der Admin ja auch Schreibrechte etc. hat und ich keine Lust habe, dass mir das Programm durch evtl. Funktionsfehler o.ä. die ADS zerschiesst.

So, ich hoffe ich erschlage euch nicht mir dem Wust an Fragen und freue mich auf eure Antworten.

Vielen Dank
Mika
Mitglied: Beccy
30.01.2008 um 20:48 Uhr
Hallo Mika,

Richte doch einfach eine Zertifkatsstelle ein, dazu noch einen Wiederherstellungsagenten, falls die Clienten ihr Zertifikat verlieren und weise jedem Benutzer für die Verbindung ein Zertifikat zu.

Und aktiviere zwischen dem Server und den Clienten in der GPO, (in der IP-Sicherheitsrichtlinie), dass der Server eine sichere Verbindung verlangt. (Secure Server: Require Security).

Dann ist die Verbindung auch mit LDAP verschlüsselt. Aber das geht nur mit WinXP.

Aber dazu muss sich ein Client an der Domäne anmelden. Wozu hast Du einen Server, wenn sich die User da nicht anmelden dürfen ?

LG.

Beccy
Bitte warten ..
Mitglied: mika-do
03.03.2008 um 17:45 Uhr
Hallo!

Vielen Dank für die Antwort. Ich bin leider recht neu auf dem Gebiet der Zertifikate. Kann mir das jemand nocheinmal etwas detailierter beschreiben? Wäre echt klasse!

Hat denn noch jemand nen Tip, wie ich zusätzlich einen Benutzer erstellen kann, der nur Leserechte auf das AD hat und sonst keinerlei Berechtigungen?

Vielen Dank
Mika
Bitte warten ..
Mitglied: Beccy
03.03.2008 um 19:55 Uhr
Hallo,

Hallo!



>Wie kann ich also nun einen Benutzer einrichten, der NUR die Leseberechtigung auf das Active >Directory hat. Dieser Benutzer soll sich nicht an der Domäne also über eine Workstation >anmelden können und auch sonst KEINE Rechte haben

Du meinst immer noch dieses Problem, wie in Deiner ursprünglichen Nachricht ?

Hat denn noch jemand nen Tip, wie ich
zusätzlich einen Benutzer erstellen
kann, der nur Leserechte auf das AD hat und
sonst keinerlei Berechtigungen?


Einfach: GARNICHT !!

Wenn Du einen Benutzer haben willst, der sich nicht über eine Workstation bei der Domäne anmelden dürfen soll, dann kann die Domäne auch den Benutzer nicht kennen und identifizieren.

Und was meinst Du eigentlich mit Leseberechtigungen auf das AD und sonst keine Berechtigungen ? Denn jeder User, der bei der Domäne als User eingetragen ist und den
Level eines Domänenbenutzers hat, hat natürlich das Recht alle für IHN freigegebenen Ordner zu sehen, zu öffnen usw. Andererseits kann man aber diesem User schnell die Rechte für alle Ordner nehmen, indem man ihm eben den Zugriff auf alle Ordner einzeln wieder weg nimmt.

Bitte,

Vielen Dank
Mika

Rebecca
Bitte warten ..
Ähnliche Inhalte
Windows Server

Delegation LDAP für Active Directory

Frage von CoreknabeWindows Server3 Kommentare

Moin, ich möchte im AD (Server 2008) einen Benutzer erstellen, der LDAP-Abfragen machen kann (und am besten sonst nix). ...

Windows Userverwaltung

Active Directory Migration von Benutzern

gelöst Frage von JimPietWindows Userverwaltung8 Kommentare

Moin, wir wollen einige unserer ADs loswerden und die User/PCs/Gruppen etc in die primäre Domäne migrieren. Es handelt sich ...

Batch & Shell

User im Active Directory mit Powershell erstellen

Frage von XeidazBatch & Shell3 Kommentare

Hallo zusammen, ich bin neu im Forum und wollte mich zu aller erst mal vorstellen. Ich bin 18 Jahre ...

Windows Server

Active Directory Benutzer ohne Login-Recht

Frage von gubbeldigubWindows Server4 Kommentare

Hallo, ich habe relativ wenig Erfahrung im Umgang mit AD. Also habe ich anhand eines Lehrbuches versucht ein Beispiel-Directory ...

Neue Wissensbeiträge
Internet

Europa baut Zensurinfrastruktur auf: EU-Parlament stimmt für Upload-Filter, Leistungsschutzrecht und gegen KI-Forschung

Information von Frank vor 1 TagInternet9 Kommentare

Eine sehr schlechte Entscheidungen für die Zukunft Europas ist gefallen: Der Rechtsausschuss im EU-Parlament stimmte heute morgen in einer ...

Windows 10

Mikrofon von Headset geht nach Update auf Windows 10 1803 nicht mehr

Tipp von Deepsys vor 3 TagenWindows 102 Kommentare

Ich verwende ein Plantronics Headset das per USB mit dem Windows 10 PC verbunden ist. Damit kann ich auch ...

Video & Streaming

Ruckelfreies Fernsehen auf Smartphone oder Tablet - in SD oder gar HD - Eine Alternative zum Fritz DVB-C Receiver

Anleitung von power-user vor 4 TagenVideo & Streaming9 Kommentare

Wer kennt das nicht: Man möchte gemütlich auf dem Balkon sitzen und vielleicht grillen und dabei das WM-Spiel gucken ...

Erkennung und -Abwehr
Trendmicro WFBS 10 ist in deutsch verfügbar!
Tipp von VGem-e vor 4 TagenErkennung und -Abwehr4 Kommentare

Servus Kollegen, downloadbar unter

Heiß diskutierte Inhalte
Windows 7
Windows 7 Benutzer wechsel nicht möglich
gelöst Frage von OSelbeckWindows 727 Kommentare

Hallo, ich habe hier einen Windows 7 Rechner, der in der Domäne war. Jetzt passiert beim starten, das ich ...

Windows Netzwerk
IP-Adresskonflikt
Frage von Turbo-MasterWindows Netzwerk24 Kommentare

Hallo zusammen, ich habe ein Problem mit unserem Netzwerk unter Windows Server. Ständig erhalten wir die Meldung, dass ein ...

Batch & Shell
Batch Datei für Dateinamen
gelöst Frage von Sabi75Batch & Shell19 Kommentare

Hallo zusammen, ich bräuchte mal eure Hilfe. Ich nutze einen Windows 7 PC und ein Apple Ipad wenn ich ...

Festplatten, SSD, Raid
RAID auflösen Synology DS213j!
gelöst Frage von Hendrik2586Festplatten, SSD, Raid19 Kommentare

Guten Morgen meine Lieben! :) Diese Frage wird sich sicherlich schon der ein oder andere gestellt haben. Es geht ...