Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Active Directory, Berechtigung für Feld Nachname

Frage Microsoft Windows Server

Mitglied: bioperiodik

bioperiodik (Level 1) - Jetzt verbinden

03.11.2009 um 15:29 Uhr, 7548 Aufrufe, 4 Kommentare

Guten Tag,

Ich bin gerade dabei die Verwaltungsrechte für unser Active Directory zu delegieren bzw mich mit diesem Thema zu beschäftigen.

Bisher finde ich mich auch gut zurrecht und hab schon die meisten Berechtigungen gesetzt.
Allerdings kann ich die Schreibberechtigung für ein paar Felder nicht finden. Ich hab auch schon google bemüht, allerdings ohne Erfolg.

Es handelt sich dabei um die Felder Nachname, Büro und E-Mail.

Ich finde einfach keine Berechtigung mit denen ich das Schreiben in diese Felder erlauben kann.

Hat von euch jemand einen Tipp bzw. weis wo ich das Berechtigen kann?

Vielen Dank im Vorraus
Seb
Mitglied: Yusuf-Dikmenoglu
03.11.2009 um 16:56 Uhr
Salut,

die Attribute die hinter den Feldern stehen erfährst du von hier:

[LDAP://Yusufs.Directory.Blog/ - Die Active Directory-Attribute hinter den Feldnamen]
http://blog.dikmenoglu.de/Die+Active+DirectoryAttribute+Hinter+Den+Feld ...


Nun kannst du z.B. in der DACL (Discretionary Access Control List) oder idealer mit DSACLS
die Berechtigungen setzen. Der Befehl für das Feld "Büro" sieht z.B. so aus:

DSACLS "<DeineOU>" /G "<Dein/ Benutzer/Gruppe>:RPWP;physicaldeliveryofficename;user" /I:S


Du versuchst vermutlich über den Delegierungsassistenten dort in der GUI die Berechtigungen zu setzen.
Das funktioniert darüber standardmäßig nicht, denn der Assistent zeigt "out-of-the-Box" nicht alle Attribute dort an.
Sonst wäre das auch viel zu unübersichtlich.

Wenn du also möchtest, dass das Feld "Büro", also dass Attribut "physicaldeliveryofficename" im Assistenten erscheint,
musst du das in der Datei "dssec.dat" die du im Verzeichnis "%systemroot%\System32\" findest vorher zum Vorschein bringen.
Erst dann kannst du das Attribut im Assistenten auswählen. Das Feld Nachname (das Attribut "sn") im Übrigen genauso.

In der dssec.dat Datei musst du ganz unten, im Absatz "[USER]" den Wert hinter den einzelnen Attributen von "7" auf "0" ändern.

Die Delegierung mit DSACLS hat aber den Vorteil, dass man die delegierten Rechte einfach wieder entfernen kann.
Des Weiteren ist es für die Dokumentation hilfreich und nachvollziehbar.


Was das Thema "Objektveraltung" anbetrifft, schau dich auch auf diesen Seiten um:

[LDAP://Yusufs.Directory.Blog/ - Active Directory|Objektverwaltung]
http://blog.dikmenoglu.de/CategoryView,category,Active%2BDirectory%2cOb ...


Viele Grüße
Yusuf Dikmenoglu
Bitte warten ..
Mitglied: bioperiodik
03.11.2009 um 19:56 Uhr
Ah wunderbar, das klingt ja sehr vielversprechend! Werd ich morgen gleich mal ausprobieren.

Die Seite hab ich auch schon gefunden, gibt sehr viele gute Tipps und Hinweise zu diesem Thema, allerdings hab ich für dieses Problem keine Lösung gefunden.
Sieht so aus als obs deine Seite wär? Dickes Lob, die Seite hat mich schon sehr viel weiter gebracht!

Naja...also das es wegen der besseren Übersichtlichkeit weggelassen wurde glaub ich ja weniger...ich meine da gibts unwichtigere Dinge als den Nachnamen oder das Büro...sonst ist da ja auch jeder Käse drin ;)

Aber danke für den Hinweis, ich werd beide Möglichkeiten mal testen!
Hab jetzt schon ewig gesucht aber nix dergleichen gefunden...aber sowas hab ich mir irgendwie schon gedacht, also das ein paar Elemente wahrlos weggelassen wurden ;)

Vielen Dank und noch einen schönen Abend
Bitte warten ..
Mitglied: Yusuf-Dikmenoglu
03.11.2009 um 21:05 Uhr
Ja, dass ist meine Seite.

Das Design, was im Delegierungsasssistenten dargestellt wird und was nicht, wurde aus (US) Sicht so festgelegt.
Für die Mausschubser-Brigarde hat Redmond dann noch die Option eingebaut (dssec.dat), die restlichen Attribute im Assistenten sichtbar zu machen.

Derjenige der sich mit der Materie auskennt, benötigt den Assistenten erst garnicht und stolpert auch nicht über das fehlen der Attribute.
Denn der Profi verwendet eher DSACLS in Verbindung eines Skripts oder über die DACL. Die Attribute auf die man die Rechte erteilen möchte,
findet der Kenner ebenfalls schnell heraus.

Komfortabler ist es eben die Delegierung mit dem Kommandozeilentool DSACLS durchzuführen. Die Delegierung lässt sich dann auch relativ fix wieder entfernen.


Gruß, Yusuf dikmenoglu
Bitte warten ..
Mitglied: bioperiodik
03.11.2009 um 21:15 Uhr
Das stimmt wohl, bin aber noch kein Kenner ;)

Sind meine ersten Gehversuche auf diesem Gebiet und da bietet sich der Assistens ja an.

Allerdings werd ich mir jetzt auch mal das Kommandozeilentool näher anschauen, klingt ja sehr interessant.
Die Sache mit dem Assistenten ist ja teilweise schon etwas umständlich und Klickintensiv!

Ich werd auf deine Seite zurückgreifen, und bei Problemen einfach dich nerven :D

Gruß
Sebastian
Bitte warten ..
Ähnliche Inhalte
Windows Server
Active Directory - neues Feld hinzufügen
gelöst Frage von 91863Windows Server5 Kommentare

Hallo Zusammen, ich möchte ein neues Feld im AD hinzufügen. Google gibt da nicht viel her Habe das gefunden ...

CMS
Xibo Berechtigungen bzw. Login mit Active Directory verbinden
Frage von ZelgiusCMS1 Kommentar

Hallo werte Administratoren, ich hätte wieder einmal eine Frage. Vor 3 Monaten habe ich in meiner Firma mittels Xibo ...

Windows Userverwaltung
Berechtigung im Active Directory für das Attribut mail verweigern
gelöst Frage von ShadovvWindows Userverwaltung6 Kommentare

Hallo Community, ich habe folgendes Problem, für das ich beim besten Willen keine Lösung finde: Ich habe mir im ...

Windows Server
Active Directory Vertrauensstellung
Frage von ukulele-7Windows Server11 Kommentare

Ich muss sagen das ist meine erste Vertrauensstellung. Ich habe sie in unserer alten AD ads.domain.local Windows 2003 und ...

Neue Wissensbeiträge
Batch & Shell

Open Object Rexx: Eine mittlerweile fast vergessene Skriptsprache aus dem Mainframebereich

Information von Penny.Cilin vor 16 StundenBatch & Shell8 Kommentare

Ich kann mich noch sehr gut an diese Skriptsprache erinnern und nutze diese auch heute ab und an noch. ...

Humor (lol)

"gimme gimme gimme": Automatischer Test stolpert über Easter Egg im man-Tool

Information von Penny.Cilin vor 18 StundenHumor (lol)6 Kommentare

Interessant, was man so alles als Easter Egg implementiert. Ist schon wieder Ostern? "gimme gimme gimme": Automatischer Test stolpert ...

MikroTik RouterOS

Mikrotik - Lets Encrypt Zertifikate mit MetaROUTER Instanz auf dem Router erzeugen

Anleitung von colinardo vor 1 TagMikroTik RouterOS8 Kommentare

Einleitung Folgende Anleitung ist aus der Lage heraus entstanden das ein Kunde auf seinem Mikrotik sein Hotspot Captive Portal ...

Sicherheit

Sicherheitslücke in HP-Druckern - Firmware-Updates stehen bereit

Information von BassFishFox vor 1 TagSicherheit1 Kommentar

Ein weiterer Grund, dass Drucker keinerlei Verbindung nach "auswaerts" haben sollen. Unter Verwendung spezieller Malware können Angreifer aus der ...

Heiß diskutierte Inhalte
Windows Server
RDP macht Server schneller???
Frage von JaniDJWindows Server17 Kommentare

Hallo Community, wir betrieben seit geraumer Zeit diverse virtuelle Maschinen und Server mit Windows Server 2012. Leider haben wir ...

Windows 10
Windows 10 dunkler Bildschirm nach Umfallen
Frage von AkcentWindows 1015 Kommentare

Hallo, habe hier einen Windows 10 Rechner der von einem User umgefallen wurde (Beine übers Knie, an den PC ...

Windows 10
Bitlocker nach Verschlüsselung nicht mehr aufrufbar!
gelöst Frage von alexlazaWindows 1013 Kommentare

Hallo, ich besitze ein HP ZBook 17 G4 mit einem Windows 10 Pro Betriebssystem. Bei diesem Problem handelt sich, ...

Batch & Shell
Neuste Datei via PowerShell kopieren
gelöst Frage von kaiuwe28Batch & Shell11 Kommentare

Hallo zusammen, ich hatte mir mit Hilfe der Suche im Forum einen kleinen Code von colinardo rausgesucht und versucht ...