SVC 10 Geschrieben 26. Oktober 2012 Melden Teilen Geschrieben 26. Oktober 2012 Hallo zusammen, im Zusammenhang mit einem bevorstehen Release bei uns habe ich eine Frage zur Granularität der Berechtigungsvergabe im AD. Vorhaben: Für eine definierte OU möchte ich für einen Service Account die folgende Berechtigung setzen: Erlaube das Hinzufügen und Löschen von berechtigen Objekten innerhalb des Attributes Member, allerdings nur wenn das Objekt einem bestimmten Typ angehört (in unserem Fall User). Unser Problem ist, dass unsere Service Account automatisiert Gruppenmitgliedschaften verwaltet. Dies soll er aber nur für User Objekte tun. Gegenwärtig würde der SVC auch verschachtelte Gruppenmitgliedschaften, Kontakte und oder Clients löschen. Das möchten wir dem Service Account gerne austreiben Zitieren Link zu diesem Kommentar
NorbertFe 2.067 Geschrieben 26. Oktober 2012 Melden Teilen Geschrieben 26. Oktober 2012 Gruppenmitgliedschaft ist aber keine Eigenschaft des Nutzers, sondern der Gruppe. ;) Und wenn er keine Schachtelung betreiben soll, dann darf er nur Zugriff auf die Gruppen bekommen, die er verwalten soll und für die gibt's dann eine entsprechende organisatorische VOrgabe, was erlaubt ist und was nicht. Alles andere ließe sich (wenn überhaupt) nur über ein entsprechendes Provisioning System abfangen. Bye Norbert Zitieren Link zu diesem Kommentar
SVC 10 Geschrieben 26. Oktober 2012 Autor Melden Teilen Geschrieben 26. Oktober 2012 Danke für die schnelle Antwort. Ich glaube aber, dass ich mich falsch ausgedrückt habe. Ja; Member ist das Attribut einer Gruppe. Unser Service User betrachtet entsprechend auch nur Gruppen und Ihre Mitgliedschaften. Ich möchte jedoch erreichen, dass der Service User innerhalb des Attributes "Member" einer Gruppe nur Objekte des Typs "User" löscht. Zur Zeit sieht es so aus: Gruppe "Test" hat folgende Mitglieder: 1. Norbert (Typ: User) 2. Manfred (Typ: User) 3. Test2 (Typ: Gruppe) 4. Rechner01 (Typ: Client) Der Service Account hat die Berechtigung das Attribut "Member" zu verändern. Er sollte aber nur Objekte vom Typ User löschen dürfen. Egal welche Operation dem SVC Account übergeben wird. Am Ende muss die Gruppe "Test" noch diese Mitglieder besitzen: 3. Test2 (Typ: Gruppe) 4. Rechner01 (Typ: Client) Zitieren Link zu diesem Kommentar
NorbertFe 2.067 Geschrieben 26. Oktober 2012 Melden Teilen Geschrieben 26. Oktober 2012 Das geht nicht. Sowas müsstest du dann über ein anderes System (wie oben bereits erwähnt) abfangen. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.