Netscape 11 Geschrieben 17. Juni 2011 Melden Teilen Geschrieben 17. Juni 2011 Hi, wie kann ich die Rechte für einen User setzen, damit er die Gruppenzugehörigkeit für User auslesen kann? Hintergrund ist der: Ich habe eine Webapplikation auf einem internen Apache mit Kerberos SSO konfiguriert. Und für die Rechtevergabe werden die AD-Gruppen benutzt. Dafür muss der User, den ich für die Abfrage nutze, diese Rechte haben. Dieser User soll nur die Gruppenzugehörigkeit auslesen können. Keine Änderungen oder sonstiges machen können! Active Directory: Windows 2003 Pur Mode, mit 2 Win2k3 DC´s und einem Win2k8R2 DC. Zitieren Link zu diesem Kommentar
P.Foeckeler 11 Geschrieben 17. Juni 2011 Melden Teilen Geschrieben 17. Juni 2011 Hallo, die Gruppenzugehörigkeit ist bei AD-Usern im Attribut "memberOf", das ist ein gewöhnliches Attribut, auf das im AD _JEDER_ angemeldete User Leserechte hat. Du brauchst also keine speziellen Rechte zu vergeben :) Liste der User-Attribute: SelfADSI : Attribute für AD User (Windows 2008) Gruß, Philipp Zitieren Link zu diesem Kommentar
Netscape 11 Geschrieben 17. Juni 2011 Autor Melden Teilen Geschrieben 17. Juni 2011 Ich denke, ich habs schon gefunden. Über die Delegierung/Objektverwaltung im Active Directory Benutzer und Computer MMC. Habe dort die Delegierung mit der Option "Liest alle Benutzerinformationen". Oder gibt es noch einen anderen Weg? Zitieren Link zu diesem Kommentar
P.Foeckeler 11 Geschrieben 17. Juni 2011 Melden Teilen Geschrieben 17. Juni 2011 Du kannst mit diesem kostenlosen Tool hier nachprüfen, dass der Eintrag "Authentifizierte Benutzer" auf alle OUs das Leserecht bereits hat: LIZA - Active Directory Security, Permission and ACL Analysis Gruß, PHilipp Zitieren Link zu diesem Kommentar
Netscape 11 Geschrieben 17. Juni 2011 Autor Melden Teilen Geschrieben 17. Juni 2011 Hallo, die Gruppenzugehörigkeit ist bei AD-Usern im Attribut "memberOf", das ist ein gewöhnliches Attribut, auf das im AD _JEDER_ angemeldete User Leserechte hat. Du brauchst also keine speziellen Rechte zu vergeben :) Liste der User-Attribute: SelfADSI : Attribute für AD User (Windows 2008) Gruß, Philipp Hat aber erst funktioniert, nachdem ich die Delegierung eingerichtet hatte. Zitieren Link zu diesem Kommentar
Netscape 11 Geschrieben 17. Juni 2011 Autor Melden Teilen Geschrieben 17. Juni 2011 Hab im ADSI-Edit nachgeschaut. Authentifizierte Benutzer haben das Recht "Gruppenmitgliedschaft lesen" nicht. Der User, dem ich die Delegierung erteilt hab, hat dieses Recht. Zitieren Link zu diesem Kommentar
P.Foeckeler 11 Geschrieben 17. Juni 2011 Melden Teilen Geschrieben 17. Juni 2011 Hallo, Sorry wenn ich da widersprechen muss. Keine Ahnung was du da angeschaut hast mit dem ADSIEdit, aber: Es gibt kein Recht "Gruppenmitgliedschaften lesen", es gibt Rechte auf das gesamte Objekt, oder dessen Attribute, oder ein paar spezielle Rechte wie z.B. "Passwort setzen". Standardeintrag für "Authenticated Users" ist auf alle Objekte in einer Domäne der folgende: "List Content" für Container + OUs "Read all Propertiers" <- hier ist das Auslesen der Gruppenmitliedschaft drin "Read permissions" In der Schnellübersicht der Rechte siehst du das bei den Authenticated Users schlicht als Häckchen bei "READ", für die Einzelheiten mußt du die "Advanced Settings" aufmachen.... Andernfalls wurden die Standardrechte in Deinem AD verändert, was aber sehr exotisch wäre.... Kannst ja mal einen DSACL Output des betreffenden Objektes posten, da wären die Einzelheiten auch zu sehen.... Gruß, Philipp Zitieren Link zu diesem Kommentar
Netscape 11 Geschrieben 17. Juni 2011 Autor Melden Teilen Geschrieben 17. Juni 2011 Ich habe im ADSI-Edit die Eigenschaften eines Standard Domänen-Benutzers geöffnet. Dann gibt es da den Reiter Sicherheit. Und dort haben die "Authentifizierten Benutzer" zwar das Recht "Allgemeine Informationen lesen", aber nicht das Recht "Gruppenmitglidschaft lesen" Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.