Jump to content

Modify Permissions Einschränkung auf Objekttyp

SVC

Von SVC
in Active Directory Forum

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

SVC Rookie

SVC   10

Geschrieben
Geschrieben

Hallo zusammen,

 

im Zusammenhang mit einem bevorstehen Release bei uns habe ich eine Frage zur Granularität der Berechtigungsvergabe im AD.

 

Vorhaben:

 

Für eine definierte OU möchte ich für einen Service Account die folgende Berechtigung setzen:

 

Erlaube das Hinzufügen und Löschen von berechtigen Objekten innerhalb des Attributes Member, allerdings nur wenn das Objekt einem bestimmten Typ angehört (in unserem Fall User).

 

Unser Problem ist, dass unsere Service Account automatisiert Gruppenmitgliedschaften verwaltet. Dies soll er aber nur für User Objekte tun. Gegenwärtig würde der SVC auch verschachtelte Gruppenmitgliedschaften, Kontakte und oder Clients löschen. Das möchten wir dem Service Account gerne austreiben

Link zu diesem Kommentar
NorbertFe Grand Master

NorbertFe   1.983

Geschrieben
Geschrieben

Gruppenmitgliedschaft ist aber keine Eigenschaft des Nutzers, sondern der Gruppe. ;) Und wenn er keine Schachtelung betreiben soll, dann darf er nur Zugriff auf die Gruppen bekommen, die er verwalten soll und für die gibt's dann eine entsprechende organisatorische VOrgabe, was erlaubt ist und was nicht.

 

Alles andere ließe sich (wenn überhaupt) nur über ein entsprechendes Provisioning System abfangen.

 

Bye

Norbert

Link zu diesem Kommentar
SVC Rookie

SVC   10

Geschrieben
  • Autor
Geschrieben

Danke für die schnelle Antwort. Ich glaube aber, dass ich mich falsch ausgedrückt habe.

 

Ja; Member ist das Attribut einer Gruppe. Unser Service User betrachtet entsprechend auch nur Gruppen und Ihre Mitgliedschaften. Ich möchte jedoch erreichen, dass der Service User innerhalb des Attributes "Member" einer Gruppe nur Objekte des Typs "User" löscht.

 

Zur Zeit sieht es so aus:

 

Gruppe "Test" hat folgende Mitglieder:

1. Norbert (Typ: User)

2. Manfred (Typ: User)

3. Test2 (Typ: Gruppe)

4. Rechner01 (Typ: Client)

 

Der Service Account hat die Berechtigung das Attribut "Member" zu verändern. Er sollte aber nur Objekte vom Typ User löschen dürfen.

 

Egal welche Operation dem SVC Account übergeben wird. Am Ende muss die Gruppe "Test" noch diese Mitglieder besitzen:

 

3. Test2 (Typ: Gruppe)

4. Rechner01 (Typ: Client)

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
Zurück zur Übersicht


×
×
  • Neu erstellen...