Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Frage Microsoft Windows Server

Delegation LDAP für Active Directory

Mitglied: Coreknabe

Coreknabe (Level 2) - Jetzt verbinden

18.12.2014 um 13:43 Uhr, 1753 Aufrufe, 3 Kommentare

Moin,

ich möchte im AD (Server 2008) einen Benutzer erstellen, der LDAP-Abfragen machen kann (und am besten sonst nix). Habe es mit Delegation versucht (Zuweisen der Objektverwaltung) und ein wenig rumgetestet, funktioniert aber nicht wirklich.
Hat das von Euch jemand am Laufen? Ich habe eine Technetseite gefunden (und schlauerweise wieder zugeklickt, jetzt finde ich sie nicht wieder), auf der stand, dass so ein User Mitglied der Domänen-Admins sein muss? Macht ja dann eher wenig Sinn, da kann ich ja gleich den Domänen-Admin nehmen...

Gruß
Mitglied: colinardo
18.12.2014, aktualisiert um 13:56 Uhr
Hallo Coreknabe,
jeder Benutzer kann grundlegende Infos aus dem AD abfragen, zu allererst die eigenen Eigenschaften seines Userobjektes und weitere eingeschränkte Bereiche. Die möglichen Bereich auf die er zugreifen kann werden in den Sicherheitseinstellungen des AD definiert die du entweder mit ADSIEdit.msc oder via Delegation definierst. Diese musst du eben so setzen das er auf die benötigten Bereiche Schreibrechte hat.

Die nötigen Infos habe ich hier bereits mehrfach gepostet, deshalb hier die Links zu den Beiträgen:

Delegation von Berechtigungen
Grundlegendes: Die Delegation von Berechtigungen

Grüße Uwe
Bitte warten ..
Mitglied: Coreknabe
18.12.2014 um 14:09 Uhr
Hi Uwe,

danke für die schnelle Antwort. Grundsätzlich habe ich das auch verstanden, nur weiß ich nicht, welche Berechtigungen ich vergeben muss. Wenn ich unter "Erweiterte Berechtigungen" nachschaue und dort "Inhalt auflisten" und "Alle Eigenschaften lesen" für den Benutzer zulasse (auf die gesamte Domäne bezogen), kann der User trotzdem keine LDAP-Abfragen machen.

Noch eine Idee oder einen Tipp?

Gruß
Bitte warten ..
Mitglied: colinardo
18.12.2014, aktualisiert um 18:21 Uhr
  • Hast du in den erweiterten ACLs überhaupt festgelegt das die Rechte an alle Unterobjekte vererbt werden ?
Active-Directory Benutzer und Computer > Ansicht > Erweiterte Features aktivieren, dann Kontextmenü auf den gewünschten Container > Tab Sicherheit > Erweitert

  • Womit machst du die LDAP-Abfragen ? (läuft hier mit JXplorer und via Powershell (ADSISearcher))

Mit folgendem Powershell-Schnippsel kann ich z.B. mit einem normalen User von einem Domainclient per LDAP Daten abfragen:
01.
$adsi = new-object adsisearcher("LDAP://$(([adsi]'LDAP://rootDSE').defaultNamingContext)","(&(objectCategory=User)(SamAccountName=Administrator))","*",[System.DirectoryServices.SearchScope]::Subtree) 
02.
$adsi.FindAll()| %{ 
03.
    $_.Properties 
04.
}
Bitte warten ..
Ähnliche Inhalte
Windows Server
Active Directory - Delegation
Frage von TeutoneWindows Server8 Kommentare

Hallo liebe ITler, ich habe folgende Frage an euch. Ich möchte in unserem Unternehmen dem Hausmeister das Recht gewähren, ...

Windows Server
Active Directory Vertrauensstellung
Frage von ukulele-7Windows Server11 Kommentare

Ich muss sagen das ist meine erste Vertrauensstellung. Ich habe sie in unserer alten AD ads.domain.local Windows 2003 und ...

Windows Server
Mit Tastenkürzel im Active Directory navigieren?
gelöst Frage von Fish01Windows Server3 Kommentare

Hallo! Folgender Fall als Beispiel: Habe in einer OU ca. 100 User und möchte zB: bei jedem User kontrollieren, ...

Windows Server
Active Directory - Umlaute ersetzen
gelöst Frage von duschgasWindows Server5 Kommentare

Hallo liebe Community, Ich besitze ein AD, das historisch gewachsen ist. Unter anderem enthält es Umlaute wie Ä Ü ...

Neue Wissensbeiträge
Linux

Meltdown und Spectre: Linux Update

Information von Frank vor 1 TagLinux

Meltdown (Variante 3 des Prozessorfehlers) Der Kernel 4.14.13 mit den Page-Table-Isolation-Code (PTI) ist nun für Fedora freigegeben worden. Er ...

Tipps & Tricks

Solutio Charly Updater Fehlermeldung: Das Abgleichen der Dateien in -Pfad- mit dem Datenobject ist fehlgeschlagen

Tipp von StefanKittel vor 2 TagenTipps & Tricks

Hallo, hier einmal als Tipp für alle unter Euch die mit der Zahnarztabrechnungssoftware Charly von Solutio zu tun haben. ...

Sicherheit

Meltdown und Spectre: Wir brauchen eine "Abwrackprämie", die die CPU-Hersteller bezahlen

Information von Frank vor 2 TagenSicherheit12 Kommentare

Zum aktuellen Thema Meltdown und Spectre: Ich wünsche mir von den CPU-Herstellern wie Intel, AMD oder ARM eine Art ...

Sicherheit

Meltdown und Spectre: Realitätscheck

Information von Frank vor 2 TagenSicherheit10 Kommentare

Die unangenehme Realität Der Prozessorfehler mit seinen Varianten Meltdown und Spectre ist seit Juni 2017 bekannt. Trotzdem sind immer ...

Heiß diskutierte Inhalte
Batch & Shell
Meltdown Microsoft Prüf Script - .zip Datei leider leer
gelöst Frage von MasterBlaster88Batch & Shell13 Kommentare

Hallo zusammen, ich patche gerade unsere Windows Server bzgl. der Meltdown Lücke. Patch vorhanden, Reg Keys gesetzt Um das ...

Batch & Shell
Shell-Skript - Syntax error: Unterminated quoted string
Frage von newit1Batch & Shell13 Kommentare

Hallo Ich schreibe ein Skript das eine CSV-Datei in eine mySQL Datenbank schieben soll. Bekomme nach start des Skrips ...

E-Mail
Erfahrungen mit hMailServer gesucht
Frage von it-fraggleE-Mail10 Kommentare

Hallo, meine neue Stelle möchte einen eigenen Mailserver. Ich als Linuxkind war direkt geistig mit Postfix dabei. Leider wollen ...

Windows Server
DNS Forwarding an andere Domäne
Frage von detox91Windows Server9 Kommentare

Hallo, für Testzwecke haben wir bei uns eine zweite Windows Domäne (B.local) aufgebaut, welche komplett unabhängig und isoliert der ...