mika_do 10 Geschrieben 3. März 2008 Melden Teilen Geschrieben 3. März 2008 Hallo zusammen, ich möchte in einer Software die Benutzerverwaltung über das Active Directory laufen lassen, auf welches via LDAP zugegriffen wird. Ein entsprechender Menüpunkt ist in der Software auch vorhanden. Ich habe die Einstellungen soweit vorgenommen und es funktioniert. Das ganze läuft in einer 2003er Umgebung mit einem Domänencontroller Nun zu meiner Frage: Das Programm erfordert zwingend einen Benutzernamen und Kennwort mit Leserechten auf dem LDAP Server. Testweise habe ich einfach mal meine Login-Daten eingegeben und das funktioniert ja auch wie bereits erwähnt. Wie kann ich also nun einen Benutzer einrichten, der NUR die Leseberechtigung auf das Active Directory hat. Dieser Benutzer soll sich nicht an der Domäne also über eine Workstation anmelden können und auch sonst KEINE Rechte haben. Verständnisfrage: Ist dieser Schritt überhaupt notwendig, oder kann ich das Programm einfach mit den Administrator Daten füttern? Würde ich eigentlich nicht so gerne machen, weil: 1. Ich nicht weiss, wie die Daten im Programm selbst verschlüsselt werden 2. Die LDAP-Übertragung ja nicht verschlüsselt ist - oder ist es mit wenig Aufwand möglich eine SSL-Verbindung mit Zertifikat für LDAP einzuführen? 3. Der Admin ja auch Schreibrechte etc. hat und ich keine Lust habe, dass mir das Programm durch evtl. Funktionsfehler o.ä. die ADS zerschiesst. So, ich hoffe ich erschlage euch nicht mir dem Wust an Fragen und freue mich auf eure Antworten. Vielen Dank Mika Zitieren Link zu diesem Kommentar
Daim 12 Geschrieben 3. März 2008 Melden Teilen Geschrieben 3. März 2008 Servus, Wie kann ich also nun einen Benutzer einrichten, der NUR die Leseberechtigung auf das Active Directory hat. Dieser Benutzer soll sich nicht an der Domäne also über eine Workstation anmelden können und auch sonst KEINE Rechte haben. jeder Domänen-Benutzer hat von Haus aus nur eine Leseberechtigung auf das AD. Daher würde ich ein normales Benutzerkonto einrichten und evtl. die Option "Kennwort läuft nie ab" aktivieren. In den Benutzereigenschaften könntest du noch auswählen, dass dieses Benutzerkonto ausschließlich an einem bestimmten Client sich anmelden könnte. Somit hast du das ganze auch etwas beschränkt. Ist dieser Schritt überhaupt notwendig, oder kann ich das Programm einfach mit den Administrator Daten füttern? Ein normales Benutzerkonto wäre hier das ideale. Auf keinen Fall die Benutzerdaten eines Administrators verwenden. Wenn die Software Amok laufen sollte, kann es mit dem Administrator einiges anrichten. Dienstkonten sollten nur die Rechte erhalten, die sie auch tatsächlich benötigen und nicht mehr. 2. Die LDAP-Übertragung ja nicht verschlüsselt ist - oder ist es mit wenig Aufwand möglich eine SSL-Verbindung mit Zertifikat für LDAP einzuführen? Wie man es nimmt... ;) . How To Enable Secure Socket Layer (SSL) Communication over LDAP for Windows 2000 Domain Controllers 3. Der Admin ja auch Schreibrechte etc. hat und ich keine Lust habe, dass mir das Programm durch evtl. Funktionsfehler o.ä. die ADS zerschiesst. Korrekt. Daher "nur" ein Benutzerkonto. Zitieren Link zu diesem Kommentar
mika_do 10 Geschrieben 3. März 2008 Autor Melden Teilen Geschrieben 3. März 2008 Vielen Dank! Das hat mir schon weiter geholfen. Den Link, den du gepostet hast bezieht sich ja auf W2k Domaincontroller. Ist die Vorgehensweise beim W2k3 DC analog? Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.