StephanR 10 Geschrieben 12. Dezember 2012 Melden Teilen Geschrieben 12. Dezember 2012 Hallo, ich würde gerne unseren Usern die Möglichkeit geben, bestimmte Attribute ihres AD-Objektes zu pflegen. D. h. der angemeldete User soll die Möglichkeit haben bestimmte Attribute (Telefonnummber, Vertreter, etc.) seines AD-Users zu editieren. Kennt jemand Lösungen, die eine solche Funktionalität bereitstellen? Umgebung: Domäne: Active Directory DC: Windows Server 2008 R2 Groupware: Lotus Domino Danke und Gruß Zitieren Link zu diesem Kommentar
NorbertFe 2.066 Geschrieben 12. Dezember 2012 Melden Teilen Geschrieben 12. Dezember 2012 Exchange 2010 owa. ;) :p Zitieren Link zu diesem Kommentar
NilsK 2.958 Geschrieben 13. Dezember 2012 Melden Teilen Geschrieben 13. Dezember 2012 Moin, die Berechtigungen sind standardmäßig bereits so gesetzt, dass ein User sein eigenes Konto an ein paar Stellen bearbeiten darf. Je nachdem, um welche Attribute es geht, ist da also keine Vorbereitung nötig. Neben einer schnellen Migration auf Exchange 2010, wie von Norbert vorgeschlagen ;), käme etwas in der Art vielleicht in Betracht: faq-o-matic.net » AD-Adressen im Sekretariat bearbeiten lassen Gruß, Nils Zitieren Link zu diesem Kommentar
StephanR 10 Geschrieben 13. Dezember 2012 Autor Melden Teilen Geschrieben 13. Dezember 2012 Moin Nils, vielen Dank für den Hinweis! Von einer Migration möchte ich für diese Anforderung doch Abstand nehmen ;) Gruß Stephan Zitieren Link zu diesem Kommentar
NorbertFe 2.066 Geschrieben 13. Dezember 2012 Melden Teilen Geschrieben 13. Dezember 2012 Wenns was kosten darf: rDirectory | Active Directory Solutions | Namescape Zitieren Link zu diesem Kommentar
StephanR 10 Geschrieben 2. Januar 2013 Autor Melden Teilen Geschrieben 2. Januar 2013 Moin, die Berechtigungen sind standardmäßig bereits so gesetzt, dass ein User sein eigenes Konto an ein paar Stellen bearbeiten darf. Je nachdem, um welche Attribute es geht, ist da also keine Vorbereitung nötig. Neben einer schnellen Migration auf Exchange 2010, wie von Norbert vorgeschlagen ;), käme etwas in der Art vielleicht in Betracht: faq-o-matic.net » AD-Adressen im Sekretariat bearbeiten lassen Gruß, Nils Hallo, der Benutzer soll auch Attribute pflegen können, zu der er im Standard keine Berechtigung für eine Editierung hat. Per dsacls kann ich wie auf der Seite erwähnt ja die aktuellen Berechtigungen ändern. Mir stellt sich jetzt nur die Frage, wie es bei neu angelegten Benutzern aussieht. Wo muss man Anpassungen vornehmen, damit neue Benutzer automatisch diese Editierungsrechte bekommen? Danke und Grüße Zitieren Link zu diesem Kommentar
NilsK 2.958 Geschrieben 2. Januar 2013 Melden Teilen Geschrieben 2. Januar 2013 (bearbeitet) Moin, am besten legt man sowas auf der Ebene der OU für untergeordnete Objekte fest, das betrifft dann auch neue Objekte. Wenn es da im konkreten Fall nicht verfügbar ist (weil man z.B. Berechtigungen auf Attributebene verwalten will), bleibt nur, es pro Objekt festzulegen. Dazu braucht es dann einen eigenen Prozess, der das Objekt gleich mit den nötigen Berechtigungen anlegt, mit dem ADUC kann man dann nicht mehr sinnvoll arbeiten. Von der Holzhammer-Methode, die Standard-Berechtigungen zu bearbeiten (defaultSecurityDescriptor) rate ich ab, weil sie eben für "alle" neuen Objekte eines Typs gilt, und das ist meist nicht zielführend. Schöne Grüße, Nils bearbeitet 2. Januar 2013 von NilsK Zitieren Link zu diesem Kommentar
RobertWi 81 Geschrieben 2. Januar 2013 Melden Teilen Geschrieben 2. Januar 2013 Die Berechtigungen in AD gleichen in der Technik denen das Dateisystems (die ganz wenigen Unterschiede oder Besonderheiten wirst Du nicht merken). Du setzt die Berechtigungen also auf der betreffenden OU und lässt die Vererbung des Rest machen. (HINWEIS: Ich kenne Domino nicht gut genug, und weiß daher nicht, ob es eventuell merkwürdige Effekte gibt, wann man an den AD-Berechtigungen spielt. Bei Exchange wären diese vorstellbar, wenn man falsch ändert). Zitieren Link zu diesem Kommentar
Sunny61 807 Geschrieben 2. Januar 2013 Melden Teilen Geschrieben 2. Januar 2013 (HINWEIS: Ich kenne Domino nicht gut genug, und weiß daher nicht, ob es eventuell merkwürdige Effekte gibt, wann man an den AD-Berechtigungen spielt. Bei Exchange wären diese vorstellbar, wenn man falsch ändert). IMHO gibt es keinerlei Effekte, zumindest war das so bei der Version 7.02 des Domino Servers, den ich betreute. Domino und das AD gehen vollkommen getrennte Wege. Zitieren Link zu diesem Kommentar
StephanR 10 Geschrieben 2. Januar 2013 Autor Melden Teilen Geschrieben 2. Januar 2013 Vielen Dank schon mal! :) In die Berechtigungen der OUs hatte ich bereits reingeschaut, aber bin dort leider an folgendem Punkt hängengeblieben. Und zwar möchte ich ganz konkret die Attribute company, officephone, department und mobile den User pflegen lassen. Die Pflege der Telefonnummern ist im Default gegeben, so dass die Attribute company und department noch für die Anforderung relevant sind. In den Sicherheitseinstellungen der OU finde ich jedoch keine entsprechende Möglichkeit dem User "Selbst" die Berechtigung zum Schreiben auf die Attribute zu geben. Es werden zwar diverse Attribute angezeigt (sehr viele msDS-*) und nur wenig (ich nenn Sie mal kosmetische) wie Name und Straße. Hab ich hier das von Nils benannte Problem, dass eine Berechtigung auf die gewünschten Attribute dort nicht möglich ist? Wäre dann die einzige Alternative Schreiben auf "Alle Eigenschaften schreiben" zuzulassen? Das würde mir ehrlich gesagt nicht so sehr gefallen, oder ist das aus Eurer Sicht ungefährlich? Bezüglich Domino sehe ich ebenfalls keine Probleme, da er vollkommen autonom zum AD läuft. Zitieren Link zu diesem Kommentar
NilsK 2.958 Geschrieben 2. Januar 2013 Melden Teilen Geschrieben 2. Januar 2013 Moin, im Detail sind AD-Berechtigungen sehr komplex. Ich würde also selbst dann hier keine einfache Antwort geben, wenn ich eine wüsste (was nicht der Fall ist) - einfach weil sich zu häufig hinterher herausstellt, dass es doch ein bisschen anders war und die (falsche) Änderung Probleme verursacht. Mein Rat dazu: Wenn es wirklich eine geschäftliche Anforderung ist, dann entwickle ein günstiges Vorgehen in einer hermetisch abgeriegelten Laborumgebung. Arbeite mit Skripts, nicht per GUI. Plane ausreichend Zeit ein, denn das ganze System ist sehr komplex und unübersichtlich. http://www.faq-o-matic.net/2010/08/14/ice2010-ad-delegation-die-folien-und-skripts/ Schöne Grüße, Nils Zitieren Link zu diesem Kommentar
NorbertFe 2.066 Geschrieben 2. Januar 2013 Melden Teilen Geschrieben 2. Januar 2013 company ist u.a. Bestandteil vom "Public Information Property Sets". Als Lektüre also empfehlenswert: http://www.gruppenrichtlinien.de/HowTo/Objektverwaltung_speziell.htm sowie die darin verlinkten Artikel. Bye Norbert 1 Zitieren Link zu diesem Kommentar
StephanR 10 Geschrieben 3. Januar 2013 Autor Melden Teilen Geschrieben 3. Januar 2013 Vielen Dank für eure Hilfe. Als Lösung werde ich dem User auf der OU die Rechte zum Schreiben der "Öffentlichen Informationen" geben. Zitieren Link zu diesem Kommentar
NorbertFe 2.066 Geschrieben 3. Januar 2013 Melden Teilen Geschrieben 3. Januar 2013 Nein, du solltest den Artikel nochmal lesen. Da steht ganz deutlich drinnen, dass Berechtigungen besser auf Gruppen vergeben werden sollten. ;) Zitieren Link zu diesem Kommentar
StephanR 10 Geschrieben 3. Januar 2013 Autor Melden Teilen Geschrieben 3. Januar 2013 Nein, du solltest den Artikel nochmal lesen. Da steht ganz deutlich drinnen, dass Berechtigungen besser auf Gruppen vergeben werden sollten. ;) Das ist doch aber mit meiner Anforderung nicht praktikabel oder? Erreichen will ich ja, dass der angemeldete AD-User seine Attribute (company, department, etc.) editieren darf und nicht eine Gruppe von Benutzern. Sonst könnte ja User A die Attribute von User B editieren, wenn diese sich in ein und derselben Gruppe befinden sollten. Damit dies eben nicht geht würde ich in der OU eine Berechtigung erstellen, die dem Konto "Selbst" das Recht gewährt. Nach Tests gehe ich davon aus, dass "Selbst" das AD-Objekt meint. D. h. der Mitarbeiter kann dann sein eigenes Konto editieren, aber nicht die der anderen. Liege ich damit falsch? Danke! Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.