Sisterchen 10 Geschrieben 6. April 2011 Melden Teilen Geschrieben 6. April 2011 Hallo zusammen, ich bin am Testen einer Konfiguration für den gefilterten Attributsatzes für einen RODC. Noch bin ich mir nicht ganz im Klaren, welche Attribute genau gefiltert werden können. Es geht um eine Windows 2008-Domäne. Ich habe festgestellt, dass Attribute, bei denen das SchemaFlagsEx nicht gesetzt ist, bzw. auch das SystemFlag leer ist mit dem "RODC filtert" und dem "Verttraulich"-Bit befüllen kann, aber das sind bei einem normalen Schema die wenigstens Attribute. Die meisten kann ich gar nicht filtern, weil immer die meldung kommt: Basisschema kann nicht geändert werden (zB bei dem Attribut :"comment" eines Users). Nun suche ich den Befehlt, der im Tool LDP.exe eingegeben werden muss, um dort noch alles Attributen zu suchen, die z.B. KEIN SYSTEMFLAG gesetzt haben, damit ich weiß, welche Attribute ich überhaupt ggf. filtern kann, und somit verhindern kann, das diese an einen RODC repliziert werden. Habt ihr hier eine Idee, oder eine gute Quelle, wo ich mir was rauslesen kann? Vielen Dank schon mal VG Sisterchen Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 6. April 2011 Melden Teilen Geschrieben 6. April 2011 Hi, einmal anders gefragt: Welche Attribute möchtest Du denn filtern? Außerdem solltest Du die searchFlags der Attribute ändern, nicht die systemFlags, um den FAS zu verändern. Siehe dazu auch: Appendix D: Steps to Add an Attribute to the RODC Filtered Attribute Set . Viele Grüße olc Zitieren Link zu diesem Kommentar
Sisterchen 10 Geschrieben 6. April 2011 Autor Melden Teilen Geschrieben 6. April 2011 (bearbeitet) Oh, natürlich meinte ich das SearchFlags... war ein Schreibfehler... Sorry... Den Artikel "Anhang D:..." kannte ich schon, da steht leider auch nicht drinnen, welche Attribute ich filtern kann, nur wie man es macht (und das geht eben auch nur mit den bestimmten, die keiner Flags gesetzt haben). Mein Problem ist, das ich eine Dokumentation darüber schreibe, welche Attribute des ADs, zB für User-Objekte gefiltert werden können, und somit nicht am RODC landen... Ich habe nun ein paar Definitionen gefunden, das zB. Attribute, in denen das FLAG_ATTR_NOT_REPLICATED, od. FLAG_ATTR_REQ_PARTIAL_SET_MEMBER, od. FLAG_ATTR_IS_CONSTRUCTED, od...IS_CRITICAL gesetzt ist, nicht Mitglieder des Attribut-Filters sein können. Auch nicht, wenn das SystemOnly-Flag gesetzt ist, oder wenn das schemaFlagsEx gesetzt ist. Und mein Ziel war/ist es mit dem Tool LDP.exe genau diese Attrbiute, die diese Flags nicht gesetzt haben, auszulesen, um zu beschreiben, WELCHE Attribute gefiltert werden können. Noch leichter wäre es, eine Dokumentation zu finden, in der genau das beschrieben ist. Aber da war ich leider bis jetzt bei der Suche erfolglos.. Bin also für jeden Tipp dankbar.. VG Sisterchen bearbeitet 6. April 2011 von Sisterchen Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 7. April 2011 Melden Teilen Geschrieben 7. April 2011 Hi, zu filtern, welche Attribute das Flag *nicht* gesetzt haben, sollte mit einem LDAP Filter möglich sein. Welche Attribute das Flag setzen *können*, halte ich da schon für schwieriger. Ich bin mir gerade nicht sicher, ob man das irgendwie anhand der Schema-Definition des Attributs erkennen kann, wäre aber sicherlich denkbar. Generell stellt sich mir die Frage, warum man so eine "Positivliste" überhaupt erstellen sollte. Es sollte im Unternehmen einen Anfragekatalog geben, welche Attribute *nicht* repliziert werden sollen. Und genau diese Attribute würde ich dann prüfen. Alles andere wäre meiner persönlichen Meinung nach overkill - denn wer will denn eine Ergebnisliste mit *möglichen* (übertriebenen) 20 Millionen Attributen prüfen? Hat m.E. keinen Sinn. Außerdem stellt sich generell die Frage: - Wenn am Ende kaum noch Attribute repliziert werden sollen - will ich dann tatsächlich einen RODC in die entsprechende Lokation stellen? - Müssen die Attribute dann generell überhaupt im AD vorhanden / befüllt sein? - Kommen all meine LDAP Applikationen am RODC Standort überhaupt ohne die Attribute zurecht oder gibt es Probleme / Fehler? - ... Viele Grüße olc Zitieren Link zu diesem Kommentar
Sisterchen 10 Geschrieben 7. April 2011 Autor Melden Teilen Geschrieben 7. April 2011 :) Tja, die Sinnhaftigkeit hinter dieser Sache zu finden, könnte sich wirklich ein wenig schwierig gestallten... Ich finde deine Hinweise und gestellten Fragen sehr interessant, und ich finde, du sprichst mir ziemlich aus der Seele... Du bist nicht der erste, dem hier widersprüchliche Tatsachen aufgefallen sind ;) Nichts desto trotz muss ich es beschreiben! :) Dankbar wäre ich noch, wenn ich erfahren könnte, die ich eine LDAP-Suche gegen alle das Userobjekt im Schema laufen lassen kann, die mir alle Attribute rausschmeißen, bei denen das Searchflag LEER ist. Ich hab hier keinerlei Erfahung, wie ich sowas auslese: Deshalb ja auch der Threat... Ich dache, mit LDP.exe geht das gut?! Oder sollte ich das anders machen?? Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 7. April 2011 Melden Teilen Geschrieben 7. April 2011 Hi Sisterchen, "leere" searchFlags bringen Dir nicht viel, Du benötigst die derzeit mit einem FAS versehen Attribute. Nur "leere" searchFlags würden auch GC Attribute usw. auslassen. Der Filter für den FAS lautet wie folgt: Base DN: CN=Schema,CN=Configuration,DC=domain,DC=tld"Filter: "(SearchFlags:1.2.840.113556.1.4.803:=512)" Hintergrund sind die im oben geposteten Artikel genannten Bits: Set the 10th bit to 0x200 to add the attribute to the RODC filtered attribute set.Set the 7th bit to 0x080 to mark the attribute as confidential. Wie gesagt, ich halte (trotz Deiner Erläuterung) daran fest, daß das Vorgehen insgesamt nicht sinnvoll ist. "Wasch mir den Buckel aber mach mich nicht naß!" funktioniert nun einmal nicht. ;) Viele Grüße olc Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.