Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Active Directory, Berechtigung für Feld Nachname

Frage Microsoft Windows Server

Mitglied: bioperiodik

bioperiodik (Level 1) - Jetzt verbinden

03.11.2009 um 15:29 Uhr, 7326 Aufrufe, 4 Kommentare

Guten Tag,

Ich bin gerade dabei die Verwaltungsrechte für unser Active Directory zu delegieren bzw mich mit diesem Thema zu beschäftigen.

Bisher finde ich mich auch gut zurrecht und hab schon die meisten Berechtigungen gesetzt.
Allerdings kann ich die Schreibberechtigung für ein paar Felder nicht finden. Ich hab auch schon google bemüht, allerdings ohne Erfolg.

Es handelt sich dabei um die Felder Nachname, Büro und E-Mail.

Ich finde einfach keine Berechtigung mit denen ich das Schreiben in diese Felder erlauben kann.

Hat von euch jemand einen Tipp bzw. weis wo ich das Berechtigen kann?

Vielen Dank im Vorraus
Seb
Mitglied: Yusuf-Dikmenoglu
03.11.2009 um 16:56 Uhr
Salut,

die Attribute die hinter den Feldern stehen erfährst du von hier:

[LDAP://Yusufs.Directory.Blog/ - Die Active Directory-Attribute hinter den Feldnamen]
http://blog.dikmenoglu.de/Die+Active+DirectoryAttribute+Hinter+Den+Feld ...


Nun kannst du z.B. in der DACL (Discretionary Access Control List) oder idealer mit DSACLS
die Berechtigungen setzen. Der Befehl für das Feld "Büro" sieht z.B. so aus:

DSACLS "<DeineOU>" /G "<Dein/ Benutzer/Gruppe>:RPWP;physicaldeliveryofficename;user" /I:S


Du versuchst vermutlich über den Delegierungsassistenten dort in der GUI die Berechtigungen zu setzen.
Das funktioniert darüber standardmäßig nicht, denn der Assistent zeigt "out-of-the-Box" nicht alle Attribute dort an.
Sonst wäre das auch viel zu unübersichtlich.

Wenn du also möchtest, dass das Feld "Büro", also dass Attribut "physicaldeliveryofficename" im Assistenten erscheint,
musst du das in der Datei "dssec.dat" die du im Verzeichnis "%systemroot%\System32\" findest vorher zum Vorschein bringen.
Erst dann kannst du das Attribut im Assistenten auswählen. Das Feld Nachname (das Attribut "sn") im Übrigen genauso.

In der dssec.dat Datei musst du ganz unten, im Absatz "[USER]" den Wert hinter den einzelnen Attributen von "7" auf "0" ändern.

Die Delegierung mit DSACLS hat aber den Vorteil, dass man die delegierten Rechte einfach wieder entfernen kann.
Des Weiteren ist es für die Dokumentation hilfreich und nachvollziehbar.


Was das Thema "Objektveraltung" anbetrifft, schau dich auch auf diesen Seiten um:

[LDAP://Yusufs.Directory.Blog/ - Active Directory|Objektverwaltung]
http://blog.dikmenoglu.de/CategoryView,category,Active%2BDirectory%2cOb ...


Viele Grüße
Yusuf Dikmenoglu
Bitte warten ..
Mitglied: bioperiodik
03.11.2009 um 19:56 Uhr
Ah wunderbar, das klingt ja sehr vielversprechend! Werd ich morgen gleich mal ausprobieren.

Die Seite hab ich auch schon gefunden, gibt sehr viele gute Tipps und Hinweise zu diesem Thema, allerdings hab ich für dieses Problem keine Lösung gefunden.
Sieht so aus als obs deine Seite wär? Dickes Lob, die Seite hat mich schon sehr viel weiter gebracht!

Naja...also das es wegen der besseren Übersichtlichkeit weggelassen wurde glaub ich ja weniger...ich meine da gibts unwichtigere Dinge als den Nachnamen oder das Büro...sonst ist da ja auch jeder Käse drin ;)

Aber danke für den Hinweis, ich werd beide Möglichkeiten mal testen!
Hab jetzt schon ewig gesucht aber nix dergleichen gefunden...aber sowas hab ich mir irgendwie schon gedacht, also das ein paar Elemente wahrlos weggelassen wurden ;)

Vielen Dank und noch einen schönen Abend
Bitte warten ..
Mitglied: Yusuf-Dikmenoglu
03.11.2009 um 21:05 Uhr
Ja, dass ist meine Seite.

Das Design, was im Delegierungsasssistenten dargestellt wird und was nicht, wurde aus (US) Sicht so festgelegt.
Für die Mausschubser-Brigarde hat Redmond dann noch die Option eingebaut (dssec.dat), die restlichen Attribute im Assistenten sichtbar zu machen.

Derjenige der sich mit der Materie auskennt, benötigt den Assistenten erst garnicht und stolpert auch nicht über das fehlen der Attribute.
Denn der Profi verwendet eher DSACLS in Verbindung eines Skripts oder über die DACL. Die Attribute auf die man die Rechte erteilen möchte,
findet der Kenner ebenfalls schnell heraus.

Komfortabler ist es eben die Delegierung mit dem Kommandozeilentool DSACLS durchzuführen. Die Delegierung lässt sich dann auch relativ fix wieder entfernen.


Gruß, Yusuf dikmenoglu
Bitte warten ..
Mitglied: bioperiodik
03.11.2009 um 21:15 Uhr
Das stimmt wohl, bin aber noch kein Kenner ;)

Sind meine ersten Gehversuche auf diesem Gebiet und da bietet sich der Assistens ja an.

Allerdings werd ich mir jetzt auch mal das Kommandozeilentool näher anschauen, klingt ja sehr interessant.
Die Sache mit dem Assistenten ist ja teilweise schon etwas umständlich und Klickintensiv!

Ich werd auf deine Seite zurückgreifen, und bei Problemen einfach dich nerven :D

Gruß
Sebastian
Bitte warten ..
Neuester Wissensbeitrag
Humor (lol)

Linkliste für Adventskalender

(3)

Information von nikoatit zum Thema Humor (lol) ...

Ähnliche Inhalte
Windows Server
gelöst Active Directory File Extension - Associated Program (11)

Frage von adm2015 zum Thema Windows Server ...

Windows 8
gelöst Active Directory Default User.v2 Profile - Windows 8.1 Apps Error (4)

Frage von adm2015 zum Thema Windows 8 ...

Windows Server
Active Directory sinnvoll für kleine Firma (15)

Frage von WolfPeano zum Thema Windows Server ...

Windows Server
gelöst Verschlüsselungsmethode Active-Directory Domänen Usern (4)

Frage von User79 zum Thema Windows Server ...

Heiß diskutierte Inhalte
Exchange Server
gelöst Exchange 2010 Berechtigungen wiederherstellen (20)

Frage von semperf1delis zum Thema Exchange Server ...

Windows Server
DHCP Server switchen (20)

Frage von M.Marz zum Thema Windows Server ...

Hardware
gelöst Negative Erfahrungen LAN-Karten (19)

Frage von MegaGiga zum Thema Hardware ...

Exchange Server
DNS Einstellung - zwei feste IPs für Mailserver (15)

Frage von ivan0s zum Thema Exchange Server ...