3
Delegation LDAP für Active Directory
Moin,
ich möchte im AD (Server 2008) einen Benutzer erstellen, der LDAP-Abfragen machen kann (und am besten sonst nix). Habe es mit Delegation versucht (Zuweisen der Objektverwaltung) und ein wenig rumgetestet, funktioniert aber nicht wirklich.
Hat das von Euch jemand am Laufen? Ich habe eine Technetseite gefunden (und schlauerweise wieder zugeklickt, jetzt finde ich sie nicht wieder), auf der stand, dass so ein User Mitglied der Domänen-Admins sein muss? Macht ja dann eher wenig Sinn, da kann ich ja gleich den Domänen-Admin nehmen...
Gruß
ich möchte im AD (Server 2008) einen Benutzer erstellen, der LDAP-Abfragen machen kann (und am besten sonst nix). Habe es mit Delegation versucht (Zuweisen der Objektverwaltung) und ein wenig rumgetestet, funktioniert aber nicht wirklich.
Hat das von Euch jemand am Laufen? Ich habe eine Technetseite gefunden (und schlauerweise wieder zugeklickt, jetzt finde ich sie nicht wieder), auf der stand, dass so ein User Mitglied der Domänen-Admins sein muss? Macht ja dann eher wenig Sinn, da kann ich ja gleich den Domänen-Admin nehmen...
Gruß
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 258018
Url: https://administrator.de/contentid/258018
Printed on: April 19, 2024 at 00:04 o'clock
3 Comments
Latest comment
Hallo Coreknabe,
jeder Benutzer kann grundlegende Infos aus dem AD abfragen, zu allererst die eigenen Eigenschaften seines Userobjektes und weitere eingeschränkte Bereiche. Die möglichen Bereich auf die er zugreifen kann werden in den Sicherheitseinstellungen des AD definiert die du entweder mit ADSIEdit.msc oder via Delegation definierst. Diese musst du eben so setzen das er auf die benötigten Bereiche Schreibrechte hat.
Die nötigen Infos habe ich hier bereits mehrfach gepostet, deshalb hier die Links zu den Beiträgen:
Delegation von Berechtigungen
Grundlegendes: Die Delegation von Berechtigungen
Grüße Uwe
jeder Benutzer kann grundlegende Infos aus dem AD abfragen, zu allererst die eigenen Eigenschaften seines Userobjektes und weitere eingeschränkte Bereiche. Die möglichen Bereich auf die er zugreifen kann werden in den Sicherheitseinstellungen des AD definiert die du entweder mit ADSIEdit.msc oder via Delegation definierst. Diese musst du eben so setzen das er auf die benötigten Bereiche Schreibrechte hat.
Die nötigen Infos habe ich hier bereits mehrfach gepostet, deshalb hier die Links zu den Beiträgen:
Delegation von Berechtigungen
Grundlegendes: Die Delegation von Berechtigungen
- Einzelne Attribute für die Bearbeitung freigeben
- AD-Berechtigungen mit der Konsole vergeben
- Video zum freigeben von Attributen
- Erstellen von benutzerdefinierten MMC-Konsolen für delegierte Aufgaben im Active Directory
Grüße Uwe
Hi Uwe,
danke für die schnelle Antwort. Grundsätzlich habe ich das auch verstanden, nur weiß ich nicht, welche Berechtigungen ich vergeben muss. Wenn ich unter "Erweiterte Berechtigungen" nachschaue und dort "Inhalt auflisten" und "Alle Eigenschaften lesen" für den Benutzer zulasse (auf die gesamte Domäne bezogen), kann der User trotzdem keine LDAP-Abfragen machen.
Noch eine Idee oder einen Tipp?
Gruß
danke für die schnelle Antwort. Grundsätzlich habe ich das auch verstanden, nur weiß ich nicht, welche Berechtigungen ich vergeben muss. Wenn ich unter "Erweiterte Berechtigungen" nachschaue und dort "Inhalt auflisten" und "Alle Eigenschaften lesen" für den Benutzer zulasse (auf die gesamte Domäne bezogen), kann der User trotzdem keine LDAP-Abfragen machen.
Noch eine Idee oder einen Tipp?
Gruß
- Hast du in den erweiterten ACLs überhaupt festgelegt das die Rechte an alle Unterobjekte vererbt werden ?
- Womit machst du die LDAP-Abfragen ? (läuft hier mit JXplorer und via Powershell (ADSISearcher))
Mit folgendem Powershell-Schnippsel kann ich z.B. mit einem normalen User von einem Domainclient per LDAP Daten abfragen:
$adsi = new-object adsisearcher("LDAP://$(([adsi]'LDAP://rootDSE').defaultNamingContext)","(&(objectCategory=User)(SamAccountName=Administrator))","*",[System.DirectoryServices.SearchScope]::Subtree)
$adsi.FindAll()| %{
$_.Properties
}
