SVC

Danke für die schnelle Antwort. Ich glaube aber, dass ich mich falsch ausgedrückt habe. Ja; Member ist das Attribut einer Gruppe. Unser Service User betrachtet entsprechend auch nur Gruppen und Ihre Mitgliedschaften. Ich möchte jedoch erreichen, dass der Service User innerhalb des Attributes "Member" einer Gruppe nur Objekte des Typs "User" löscht. Zur Zeit sieht es so aus: Gruppe "Test" hat folgende Mitglieder: 1. Norbert (Typ: User) 2. Manfred (Typ: User) 3. Test2 (Typ: Gruppe) 4. Rechner01 (Typ: Client) Der Service Account hat die Berechtigung das Attribut "Member" zu verändern. Er sollte aber nur Objekte vom Typ User löschen dürfen. Egal welche Operation dem SVC Account übergeben wird. Am Ende muss die Gruppe "Test" noch diese Mitglieder besitzen: 3. Test2 (Typ: Gruppe) 4. Rechner01 (Typ: Client)

Hallo zusammen, im Zusammenhang mit einem bevorstehen Release bei uns habe ich eine Frage zur Granularität der Berechtigungsvergabe im AD. Vorhaben: Für eine definierte OU möchte ich für einen Service Account die folgende Berechtigung setzen: Erlaube das Hinzufügen und Löschen von berechtigen Objekten innerhalb des Attributes Member, allerdings nur wenn das Objekt einem bestimmten Typ angehört (in unserem Fall User). Unser Problem ist, dass unsere Service Account automatisiert Gruppenmitgliedschaften verwaltet. Dies soll er aber nur für User Objekte tun. Gegenwärtig würde der SVC auch verschachtelte Gruppenmitgliedschaften, Kontakte und oder Clients löschen. Das möchten wir dem Service Account gerne austreiben