Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Delegation LDAP für Active Directory

Frage Microsoft Windows Server

Mitglied: Coreknabe

Coreknabe (Level 2) - Jetzt verbinden

18.12.2014 um 13:43 Uhr, 1675 Aufrufe, 3 Kommentare

Moin,

ich möchte im AD (Server 2008) einen Benutzer erstellen, der LDAP-Abfragen machen kann (und am besten sonst nix). Habe es mit Delegation versucht (Zuweisen der Objektverwaltung) und ein wenig rumgetestet, funktioniert aber nicht wirklich.
Hat das von Euch jemand am Laufen? Ich habe eine Technetseite gefunden (und schlauerweise wieder zugeklickt, jetzt finde ich sie nicht wieder), auf der stand, dass so ein User Mitglied der Domänen-Admins sein muss? Macht ja dann eher wenig Sinn, da kann ich ja gleich den Domänen-Admin nehmen...

Gruß
Mitglied: colinardo
18.12.2014, aktualisiert um 13:56 Uhr
Hallo Coreknabe,
jeder Benutzer kann grundlegende Infos aus dem AD abfragen, zu allererst die eigenen Eigenschaften seines Userobjektes und weitere eingeschränkte Bereiche. Die möglichen Bereich auf die er zugreifen kann werden in den Sicherheitseinstellungen des AD definiert die du entweder mit ADSIEdit.msc oder via Delegation definierst. Diese musst du eben so setzen das er auf die benötigten Bereiche Schreibrechte hat.

Die nötigen Infos habe ich hier bereits mehrfach gepostet, deshalb hier die Links zu den Beiträgen:

Delegation von Berechtigungen
Grundlegendes: Die Delegation von Berechtigungen

Grüße Uwe
Bitte warten ..
Mitglied: Coreknabe
18.12.2014 um 14:09 Uhr
Hi Uwe,

danke für die schnelle Antwort. Grundsätzlich habe ich das auch verstanden, nur weiß ich nicht, welche Berechtigungen ich vergeben muss. Wenn ich unter "Erweiterte Berechtigungen" nachschaue und dort "Inhalt auflisten" und "Alle Eigenschaften lesen" für den Benutzer zulasse (auf die gesamte Domäne bezogen), kann der User trotzdem keine LDAP-Abfragen machen.

Noch eine Idee oder einen Tipp?

Gruß
Bitte warten ..
Mitglied: colinardo
18.12.2014, aktualisiert um 18:21 Uhr
  • Hast du in den erweiterten ACLs überhaupt festgelegt das die Rechte an alle Unterobjekte vererbt werden ?
Active-Directory Benutzer und Computer > Ansicht > Erweiterte Features aktivieren, dann Kontextmenü auf den gewünschten Container > Tab Sicherheit > Erweitert

  • Womit machst du die LDAP-Abfragen ? (läuft hier mit JXplorer und via Powershell (ADSISearcher))

Mit folgendem Powershell-Schnippsel kann ich z.B. mit einem normalen User von einem Domainclient per LDAP Daten abfragen:
01.
$adsi = new-object adsisearcher("LDAP://$(([adsi]'LDAP://rootDSE').defaultNamingContext)","(&(objectCategory=User)(SamAccountName=Administrator))","*",[System.DirectoryServices.SearchScope]::Subtree) 
02.
$adsi.FindAll()| %{ 
03.
    $_.Properties 
04.
}
Bitte warten ..
Ähnliche Inhalte
Windows Server
gelöst Active Directory Report (7)

Frage von mah0ni zum Thema Windows Server ...

Windows Server
gelöst Migration Manager for Active Directory (3)

Frage von adrian138 zum Thema Windows Server ...

Windows Server
Active Directory-Verwaltungscenter macht Probleme (1)

Frage von MrFuzz zum Thema Windows Server ...

Windows Server
gelöst Verschlüsselungsmethode Active-Directory Domänen Usern (4)

Frage von User79 zum Thema Windows Server ...

Neue Wissensbeiträge
Windows Server

Umstellung SHA 1 auf SHA 2 - Migration der CA von CSP auf KSP

Tipp von Badger zum Thema Windows Server ...

Windows 10

Quato DTP94 unter Windows 10 x64 installieren und verwenden

Anleitung von anteNope zum Thema Windows 10 ...

Windows 10

Win10 1703 und Nutzerkennwörter bei Ersteinrichtung - erstaunliche Erkenntnis

(15)

Erfahrungsbericht von DerWoWusste zum Thema Windows 10 ...

Heiß diskutierte Inhalte
Festplatten, SSD, Raid
gelöst Raid-Controller (Areca) Datenverlust trotz R5 (16)

Frage von sebastian2608 zum Thema Festplatten, SSD, Raid ...

Windows Netzwerk
DNS ins mehreren Subnetzen (11)

Frage von joerg zum Thema Windows Netzwerk ...

Server-Hardware
Starker PC zum Virtualisieren (10)

Frage von canlot zum Thema Server-Hardware ...

Server-Hardware
HP ProLiant DL380 G7, POST Error: 1785-Drive Array not Configured (10)

Frage von Paderman zum Thema Server-Hardware ...