Jump to content

Einzelnen User über LDAP beschränken


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hi,

 

ich versuche gerade  verzweifelt einen einzelnen User im AD so zu beschränken. dass er nur  Objekte  und deren Properties in einer  OU auflisten darf.

Über  das Recht  "Verweigern"  im AD  auf  der  höchsten Ebene  komme ich irgendwie  nicht  weiter. Er listet mir dann zwar  unter DC=DOMAIN  keine Objekte auf, nehme ich aber eine beliebige OU  (OU=meine OU,DC=Domain)  klappt es wieder. Das AD  wurde ursprünglich unter 200 erstellt. Der Funktion Level steht z.Z. auf 2008. Mit  LDP getestet.

 

Ist ein wenig Neuland für mich. Vielleicht kann mit ein  AD-Spezi hier mal auf die Sprünge helfen.

 

Danke Euch im Voraus.

 

-Zahni

Link zu diesem Kommentar

Moin,

 

das ist auch alles andere als trivial ...

 

Du hast es an der Stelle schon mit stark erweiterten Anforderungen an die Berechtigungen zu tun. Einen User derart stark in seinen Berechtigungen einzuschränken, ist möglich, aber sehr aufwändig. Du bewegst dich damit außerdem schnell in einem Bereich, der nicht oder "nicht mehr richtig" durch Microsoft supportet werden wird.

 

Mit Verweigerungen solltest du nicht arbeiten, weil dadurch schnell unkontrollierbare Situationen entstehen. Das gilt nicht nur im AD, sondern für alle Berechtigungen.

 

Du benötigst für sowas viel Zeit, eine separierte Laborumgebung, grundlegende Scripting-Kenntnisse (niemals manuell einstellen, nur per dsacls) und ein Werkzeug, das dir die Berechtigungen sinnvoll anzeigt (z.B. LIZA von Philipp Föckeler).

 

[Liza: Berechtigungen in Active Directory analysieren | faq-o-matic.net]
http://www.faq-o-matic.net/2010/04/06/liza-berechtigungen-in-active-directory-analysieren/

 

[ice:2010 AD-Delegation – die Folien und Skripts | faq-o-matic.net]
http://www.faq-o-matic.net/2010/08/14/ice2010-ad-delegation-die-folien-und-skripts/

 

[berechtigungen in Active Directory dokumentieren | faq-o-matic.net]
http://www.faq-o-matic.net/2013/05/27/berechtigungen-in-active-directory-dokumentieren/

 

[AD-Adressen im Sekretariat bearbeiten lassen | faq-o-matic.net]
http://www.faq-o-matic.net/2008/06/23/ad-adressen-im-sekretariat-bearbeiten-lassen/

 

Gruß, Nils

Link zu diesem Kommentar

Als Ergänzung zu Nils: "List Object Mode" könnte Dein Problem lösen, ist aber eine globale AD-Einstellung in den dsHeuristics. Alternativ überall AuthUsers rauswerfen und auch "Prä-Windows 2000-kompatibler Zugriff" leeren.

Alles nicht so ganz trivial :)

 

(Wir bauen das grad für unsere Kunden - das Fachkonzept hat schon 180 Seiten...)

Link zu diesem Kommentar

Deine Anforderung ist sehr komplex und nicht "eben so" umsetzbar, der Teufel steckt hier im Detail. Selbst wenn er in eine OU nicht rein kommt, die Objekte darunter kann er u.U. dann doch wieder lesen.

 

Bei der Erstellung eines Nutzerobjeks im AD erhalten automatisch alle anderen Nutzer Leserechte auf einen Teil seiner Attribute. Das wird nicht vererbt, das wird automatisch explizit am Benutzerobjekt angegeben. Wir hatten die Vorgabe das bei einer OU unbedingt zu verhindern, das Nutzer diese Infos auslesen können. Wir synchronisieren Daten aus einem anderen Verzeichnisdienst, geht leider nicht anders.

 

Das ging letztlich nur über eine Änderung im AD Schema (gefährlich) und durch manuelles setzen von Berechtigungen auf diese OU. Es funktioniert, aber ob das noch von MS supported ist, wage ich zu bezweifeln. Habe es halt gut dokumentiert, aber was muss das muss.

Link zu diesem Kommentar

Moin,

 

also, sagen wir es kurz: "einfach" ist das nicht zu haben.

 

Wenn man eine "harte" Anforderung hat, kriegt man das hin. Dann muss man aber realistisch noch an -zig andere Ecken ran, aus denen ein "nicht vertrauenwürdiger Externer" tiefen Einblick in das Netzwerk nehmen könnte: neben Exchange gibt es ja auch noch andere Applikationen, die Daten aus dem AD per Proxykonto abgreifen ...

 

Gruß, Nils

Link zu diesem Kommentar

Bei der Erstellung eines Nutzerobjeks im AD erhalten automatisch alle anderen Nutzer Leserechte auf einen Teil seiner Attribute. Das wird nicht vererbt, das wird automatisch explizit am Benutzerobjekt angegeben.

Genau dafür entfernen wir AuthUsers aus dem Default-SD relevanter Klassen, und List Object Mode sorgt dafür, daß das Traversal Checking aktiviert wird - hat er "oben" keine Rechte, sieht er auch "unten" nichts mehr :)

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...