Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Benutzer mit Lesezugriff für Active Directory via LDAP erstellen

Mitglied: mika-do

mika-do (Level 1) - Jetzt verbinden

30.01.2008, aktualisiert 03.03.2008, 17273 Aufrufe, 3 Kommentare

Wie kann man einen Benutzer erstellen, der nur Lesezugriff auf das Active Directory hat? (Für LDAP Abfrage)

Hallo zusammen,

ich möchte in einer Software die Benutzerverwaltung über das Active Directory laufen lassen, auf welches via LDAP zugegriffen wird. Ein entsprechender Menüpunkt ist in der Software auch vorhanden. Ich habe die Einstellungen soweit vorgenommen und es funktioniert.

Das ganze läuft in einer 2003er Umgebung mit einem Domänencontroller

Nun zu meiner Frage:

Das Programm erfordert zwingend einen Benutzernamen und Kennwort mit Leserechten auf dem LDAP Server. Testweise habe ich einfach mal meine Login-Daten eingegeben und das funktioniert ja auch wie bereits erwähnt.

Wie kann ich also nun einen Benutzer einrichten, der NUR die Leseberechtigung auf das Active Directory hat. Dieser Benutzer soll sich nicht an der Domäne also über eine Workstation anmelden können und auch sonst KEINE Rechte haben.

Verständnisfrage:

Ist dieser Schritt überhaupt notwendig, oder kann ich das Programm einfach mit den Administrator Daten füttern? Würde ich eigentlich nicht so gerne machen, weil:

1. Ich nicht weiss, wie die Daten im Programm selbst verschlüsselt werden
2. Die LDAP-Übertragung ja nicht verschlüsselt ist - oder ist es mit wenig Aufwand möglich eine SSL-Verbindung mit Zertifikat für LDAP einzuführen?
3. Der Admin ja auch Schreibrechte etc. hat und ich keine Lust habe, dass mir das Programm durch evtl. Funktionsfehler o.ä. die ADS zerschiesst.

So, ich hoffe ich erschlage euch nicht mir dem Wust an Fragen und freue mich auf eure Antworten.

Vielen Dank
Mika
Mitglied: Beccy
30.01.2008 um 20:48 Uhr
Hallo Mika,

Richte doch einfach eine Zertifkatsstelle ein, dazu noch einen Wiederherstellungsagenten, falls die Clienten ihr Zertifikat verlieren und weise jedem Benutzer für die Verbindung ein Zertifikat zu.

Und aktiviere zwischen dem Server und den Clienten in der GPO, (in der IP-Sicherheitsrichtlinie), dass der Server eine sichere Verbindung verlangt. (Secure Server: Require Security).

Dann ist die Verbindung auch mit LDAP verschlüsselt. Aber das geht nur mit WinXP.

Aber dazu muss sich ein Client an der Domäne anmelden. Wozu hast Du einen Server, wenn sich die User da nicht anmelden dürfen ?

LG.

Beccy
Bitte warten ..
Mitglied: mika-do
03.03.2008 um 17:45 Uhr
Hallo!

Vielen Dank für die Antwort. Ich bin leider recht neu auf dem Gebiet der Zertifikate. Kann mir das jemand nocheinmal etwas detailierter beschreiben? Wäre echt klasse!

Hat denn noch jemand nen Tip, wie ich zusätzlich einen Benutzer erstellen kann, der nur Leserechte auf das AD hat und sonst keinerlei Berechtigungen?

Vielen Dank
Mika
Bitte warten ..
Mitglied: Beccy
03.03.2008 um 19:55 Uhr
Hallo,

Hallo!



>Wie kann ich also nun einen Benutzer einrichten, der NUR die Leseberechtigung auf das Active >Directory hat. Dieser Benutzer soll sich nicht an der Domäne also über eine Workstation >anmelden können und auch sonst KEINE Rechte haben

Du meinst immer noch dieses Problem, wie in Deiner ursprünglichen Nachricht ?

Hat denn noch jemand nen Tip, wie ich
zusätzlich einen Benutzer erstellen
kann, der nur Leserechte auf das AD hat und
sonst keinerlei Berechtigungen?


Einfach: GARNICHT !!

Wenn Du einen Benutzer haben willst, der sich nicht über eine Workstation bei der Domäne anmelden dürfen soll, dann kann die Domäne auch den Benutzer nicht kennen und identifizieren.

Und was meinst Du eigentlich mit Leseberechtigungen auf das AD und sonst keine Berechtigungen ? Denn jeder User, der bei der Domäne als User eingetragen ist und den
Level eines Domänenbenutzers hat, hat natürlich das Recht alle für IHN freigegebenen Ordner zu sehen, zu öffnen usw. Andererseits kann man aber diesem User schnell die Rechte für alle Ordner nehmen, indem man ihm eben den Zugriff auf alle Ordner einzeln wieder weg nimmt.

Bitte,

Vielen Dank
Mika

Rebecca
Bitte warten ..
Ähnliche Inhalte
Windows Server

Delegation LDAP für Active Directory

Frage von CoreknabeWindows Server3 Kommentare

Moin, ich möchte im AD (Server 2008) einen Benutzer erstellen, der LDAP-Abfragen machen kann (und am besten sonst nix). ...

Windows Userverwaltung

Active Directory Migration von Benutzern

gelöst Frage von JimPietWindows Userverwaltung8 Kommentare

Moin, wir wollen einige unserer ADs loswerden und die User/PCs/Gruppen etc in die primäre Domäne migrieren. Es handelt sich ...

Batch & Shell

User im Active Directory mit Powershell erstellen

Frage von XeidazBatch & Shell3 Kommentare

Hallo zusammen, ich bin neu im Forum und wollte mich zu aller erst mal vorstellen. Ich bin 18 Jahre ...

Windows Server

Active Directory Benutzer ohne Login-Recht

Frage von gubbeldigubWindows Server4 Kommentare

Hallo, ich habe relativ wenig Erfahrung im Umgang mit AD. Also habe ich anhand eines Lehrbuches versucht ein Beispiel-Directory ...

Neue Wissensbeiträge
Drucker und Scanner
HP-MF-Drucker per Fax angreifbsr
Information von Lochkartenstanzer vor 1 TagDrucker und Scanner2 Kommentare

Endlich eine sinnvolle Verwendung für Faxe: Damit kann man offensichtlich den Drucker übernehmen. lks

Router & Routing

Das pfSense Buch ist jetzt für jeden kostenlos zu beziehen

Tipp von magicteddy vor 2 TagenRouter & Routing2 Kommentare

Bisher war das Buch nur für zahlende Unterstützer verfügbar, jetzt steht für Jedermann kostenlos zur Verfügung. Siehe auch The ...

Firewall

Möglicherweise neue Sicherheitslücke in Mikrotik-Firmware

Information von LordGurke vor 4 TagenFirewall3 Kommentare

Hallo zusammen, vor ein paar Monaten gab es ja bereits eine Sicherheitslücke in der Firmware von Mikrotik-Routern, über welche ...

Erkennung und -Abwehr
Rechner hacken mit Cortana, auch Remote
Information von Lochkartenstanzer vor 5 TagenErkennung und -Abwehr3 Kommentare

heise berichtet über den Vortrag von der Blackhat Open Sesame: Picking Locks with Cortana. Einige Fehler sind schon gefixt, ...

Heiß diskutierte Inhalte
Firewall
PfSense blockt Webseite nicht
Frage von matze2090Firewall27 Kommentare

Hallo, ich habe bei mir pfSense laufen. Das erste ist was ich machen möchte eine Webseite zu blocken. Könnt ...

Windows 10
WIN 10 1803 - LTE Stick kein Internetzugriff
Frage von killtecWindows 1023 Kommentare

Hallo, ich habe mit einem Windows 10 1803 Probleme mit einem LTE-Stick. Das gleiche Problem ist bei mehreren Rechnern ...

CPU, RAM, Mainboards
Xeon E5620: noch schnell genug?
Frage von ahussainCPU, RAM, Mainboards19 Kommentare

Hallo allerseits, ich habe die Möglichkeit, aus Restbeständen einen Tower mit Xeon E5620 CPU und 24 GB RAM zu ...

Datenbanken
MySQL Datenbank Import Aufgabe für mehrere .csv dateien
Frage von Marcel1989Datenbanken18 Kommentare

Hi, ich komm nicht weiter. Ich hab auf einem Windows Server 2012 r2 eine MariaDB/MySQL laufen. Nun soll diese ...