Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Benutzer mit Lesezugriff für Active Directory via LDAP erstellen

Mitglied: mika-do

mika-do (Level 1) - Jetzt verbinden

30.01.2008, aktualisiert 03.03.2008, 17120 Aufrufe, 3 Kommentare

Wie kann man einen Benutzer erstellen, der nur Lesezugriff auf das Active Directory hat? (Für LDAP Abfrage)

Hallo zusammen,

ich möchte in einer Software die Benutzerverwaltung über das Active Directory laufen lassen, auf welches via LDAP zugegriffen wird. Ein entsprechender Menüpunkt ist in der Software auch vorhanden. Ich habe die Einstellungen soweit vorgenommen und es funktioniert.

Das ganze läuft in einer 2003er Umgebung mit einem Domänencontroller

Nun zu meiner Frage:

Das Programm erfordert zwingend einen Benutzernamen und Kennwort mit Leserechten auf dem LDAP Server. Testweise habe ich einfach mal meine Login-Daten eingegeben und das funktioniert ja auch wie bereits erwähnt.

Wie kann ich also nun einen Benutzer einrichten, der NUR die Leseberechtigung auf das Active Directory hat. Dieser Benutzer soll sich nicht an der Domäne also über eine Workstation anmelden können und auch sonst KEINE Rechte haben.

Verständnisfrage:

Ist dieser Schritt überhaupt notwendig, oder kann ich das Programm einfach mit den Administrator Daten füttern? Würde ich eigentlich nicht so gerne machen, weil:

1. Ich nicht weiss, wie die Daten im Programm selbst verschlüsselt werden
2. Die LDAP-Übertragung ja nicht verschlüsselt ist - oder ist es mit wenig Aufwand möglich eine SSL-Verbindung mit Zertifikat für LDAP einzuführen?
3. Der Admin ja auch Schreibrechte etc. hat und ich keine Lust habe, dass mir das Programm durch evtl. Funktionsfehler o.ä. die ADS zerschiesst.

So, ich hoffe ich erschlage euch nicht mir dem Wust an Fragen und freue mich auf eure Antworten.

Vielen Dank
Mika
Mitglied: Beccy
30.01.2008 um 20:48 Uhr
Hallo Mika,

Richte doch einfach eine Zertifkatsstelle ein, dazu noch einen Wiederherstellungsagenten, falls die Clienten ihr Zertifikat verlieren und weise jedem Benutzer für die Verbindung ein Zertifikat zu.

Und aktiviere zwischen dem Server und den Clienten in der GPO, (in der IP-Sicherheitsrichtlinie), dass der Server eine sichere Verbindung verlangt. (Secure Server: Require Security).

Dann ist die Verbindung auch mit LDAP verschlüsselt. Aber das geht nur mit WinXP.

Aber dazu muss sich ein Client an der Domäne anmelden. Wozu hast Du einen Server, wenn sich die User da nicht anmelden dürfen ?

LG.

Beccy
Bitte warten ..
Mitglied: mika-do
03.03.2008 um 17:45 Uhr
Hallo!

Vielen Dank für die Antwort. Ich bin leider recht neu auf dem Gebiet der Zertifikate. Kann mir das jemand nocheinmal etwas detailierter beschreiben? Wäre echt klasse!

Hat denn noch jemand nen Tip, wie ich zusätzlich einen Benutzer erstellen kann, der nur Leserechte auf das AD hat und sonst keinerlei Berechtigungen?

Vielen Dank
Mika
Bitte warten ..
Mitglied: Beccy
03.03.2008 um 19:55 Uhr
Hallo,

Hallo!



>Wie kann ich also nun einen Benutzer einrichten, der NUR die Leseberechtigung auf das Active >Directory hat. Dieser Benutzer soll sich nicht an der Domäne also über eine Workstation >anmelden können und auch sonst KEINE Rechte haben

Du meinst immer noch dieses Problem, wie in Deiner ursprünglichen Nachricht ?

Hat denn noch jemand nen Tip, wie ich
zusätzlich einen Benutzer erstellen
kann, der nur Leserechte auf das AD hat und
sonst keinerlei Berechtigungen?


Einfach: GARNICHT !!

Wenn Du einen Benutzer haben willst, der sich nicht über eine Workstation bei der Domäne anmelden dürfen soll, dann kann die Domäne auch den Benutzer nicht kennen und identifizieren.

Und was meinst Du eigentlich mit Leseberechtigungen auf das AD und sonst keine Berechtigungen ? Denn jeder User, der bei der Domäne als User eingetragen ist und den
Level eines Domänenbenutzers hat, hat natürlich das Recht alle für IHN freigegebenen Ordner zu sehen, zu öffnen usw. Andererseits kann man aber diesem User schnell die Rechte für alle Ordner nehmen, indem man ihm eben den Zugriff auf alle Ordner einzeln wieder weg nimmt.

Bitte,

Vielen Dank
Mika

Rebecca
Bitte warten ..
Ähnliche Inhalte
Windows Server

Delegation LDAP für Active Directory

Frage von CoreknabeWindows Server3 Kommentare

Moin, ich möchte im AD (Server 2008) einen Benutzer erstellen, der LDAP-Abfragen machen kann (und am besten sonst nix). ...

Windows Userverwaltung

Active Directory Migration von Benutzern

gelöst Frage von JimPietWindows Userverwaltung8 Kommentare

Moin, wir wollen einige unserer ADs loswerden und die User/PCs/Gruppen etc in die primäre Domäne migrieren. Es handelt sich ...

Batch & Shell

User im Active Directory mit Powershell erstellen

Frage von XeidazBatch & Shell3 Kommentare

Hallo zusammen, ich bin neu im Forum und wollte mich zu aller erst mal vorstellen. Ich bin 18 Jahre ...

Windows Userverwaltung

Active Directory Benutzer mit gleichem Namen

Frage von SchminorWindows Userverwaltung15 Kommentare

Hallo, hat jemand eine Empfehlung wie ich Benutzer mit gleichen Namen am Besten im AD anlege? Danke Norbert

Neue Wissensbeiträge
Humor (lol)
IoT-Gefahr: Smartes Aquarium leckt!
Information von Lochkartenstanzer vor 2 StundenHumor (lol)3 Kommentare

Moin, Die IoT-Manie hat weitere Opfer gefunden. Ein Casino-Leck durch ein smartes Aquarium: Allerdings haben sie kein Wasser, sondern ...

Router & Routing

Olle Fritzbox 7270 mit VPN und SIP-Telefonie hinter O2 Homebox 6641 als "Modem"

Erfahrungsbericht von the-buccaneer vor 11 StundenRouter & Routing3 Kommentare

Nun war es soweit: Auch O2 hat mich mit VOIP zwangsbeglückt. Heute am Privatanschluss, in 2 Wochen ist das ...

Sicherheit

Ungepatchte Remote Code Execution-Lücke in LG NAS

Information von kgborn vor 1 TagSicherheit

Nutzt wer LG NAS-Einheiten? In den NAS-Einheiten der LG Network Storage-Einheiten gibt es eine sehr unschöne Schwachstelle, die einen ...

Windows Update

Neue Version KB4099950 NIC Einstellungen gehen verloren

Information von sabines vor 1 TagWindows Update2 Kommentare

Es ist eine neue Version des KB4099950 verfügbar, die das Problem mit den verlorenen Netzwerkeinstellungen lösen soll. Das Datum ...

Heiß diskutierte Inhalte
LAN, WAN, Wireless
OpenVPN Client Fehlermeldungen
Frage von chris84LAN, WAN, Wireless14 Kommentare

Hallo Zusammen, wir nutzen seit kurzem einen neuen Router und den OpenVPN Client. Die VPN Verbindung klappt; allerdings kommen ...

Sonstige Systeme
Wie Normenkataloge im Unternehmen bereit stellen?
Frage von MuzzepuckelSonstige Systeme14 Kommentare

Hallo Kollegen, ich lese schon lange hier mit, nun mein ersrer Beitrag, bzw. Frage. :-) Wir benötigen für unsere ...

Sicherheit
Verbindliche Zustellung per E-Mail?
Frage von ahussainSicherheit14 Kommentare

Hallo allerseits, ein Kunde von mir nutzt intensiv Fax. Hauptgrund: zusammen mit einer Empfangsbestätigung ist eine verbindliche Zustellung gewährleistet. ...

Netzwerke
Gateway in Switches, Druckern ect eintragen oder nicht
Frage von JodelknutNetzwerke12 Kommentare

Hi, bisher habe ich immer das Gateway überall wo es verlangt oder eintragbar war auch eingetragen. Mein neuer Kollege ...