Zearom 10 Geschrieben 1. August 2005 Melden Teilen Geschrieben 1. August 2005 Hallo Community, wir haben ein separates ActiveDirectory (W2003) aufgesetzt um diversen Applicationen ein System zur Authentifizierung zur Verfügung zu stellen. Dieses AD wird mit Hilfe des Microsoft Identity Integration Server mit Daten befüllt, eine manuelle Nachbereitung dieser verteilten Daten findet nicht statt. Allerdings befinden sich in dieses AD ein paar OUs die Systemuser enthalten und von Hand verwaltet werden (müssen). Die maschinell verteilten Daten befinden sich in eigenen OUs. Im Anhang 1 (adstructure.GIF) sieht man die Struktur des Testsystem. Die Länderspezifischen OUs (DE, AT etc) haben untergeordnete OUs (INT oder EXT) in die via MIIS Objekte abgelegt werden. In anderen OUs oder Container müssen Objekte von Hand verwaltet werden. Der MIIS greift mittels eines eigenen AD-Users auf diese Struktur zu, da er atm Administrator in dem AD ist kann er schreiben woin er will, genauso kann er OUs verschieben,löschen umbenennen etc. Meine aktuelle Aufgabe ist es einen Weg zu finden wie ich diese Berechtigungen möglichst genau beschränken kann. Dh. der User des MIIS darf nur in Bestimmten OUs Objekte verändern löschen oder neuanlegen. Genauso wenig sollte er eigene OUs anlegen dürfen, nur halt in bestimmten OUs sollte er es dürfen. Mein Problem ist es momentan das ich absolut keine Ahnung habe wo ich diese Permissions setzen kann, ich habe zwar eine gewissen Basis im AD bereich (evtl bilde ich mir das auch nur ein ;) ), nur reicht das nicht um diese Problemchen zu lösen. Ich wäre dankbar wenn mir jemand ein paar Links zu Informationen, Schlagworte oder andere Tipps liefern könnte. Trotz der Lektüre "Windows Server 2003" von Mark Minasi, hab ich nichtmal ansatzweise einen grünen Ast erreichen können. Vielen Dank im Vorraus ;) Zitieren Link zu diesem Kommentar
Zearom 10 Geschrieben 2. August 2005 Autor Melden Teilen Geschrieben 2. August 2005 mmh schade noch keine Antwort. ist die Fragestellung evtl zu kurios gestellt? oder irgendwas anderes sinntechnisch nicht in Ordnung? Evtl. stellt sich auch die Frage ob eine Begrenzung der Berechtigungen zum Ändern der AD-Struktur (und dessen Objekten) überhaupt möglich ist. Ich wäre für jede info dankbar =) /edit typo Zitieren Link zu diesem Kommentar
Gadget 37 Geschrieben 2. August 2005 Melden Teilen Geschrieben 2. August 2005 Hi Morpheus, ich habe zwar mit dem MIIS noch nichts zu tun gehabt, aber der spielt hier imho auch keine Rolle. Du hast einen bestimmten Benutzer bzw. eine Gruppe, der du Berechtigungen auf bestimmte OU´s geben willst => Im AD nennt sich das "Delegation" http://www.mcseboard.de/showthread.php?t=44420 Best Practices for Delegating Active Directory Administration http://www.microsoft.com/downloads/details.aspx?FamilyID=631747a3-79e1-48fa-9730-dae7c0a1d6d3&DisplayLang=en LG Gadget Zitieren Link zu diesem Kommentar
Zearom 10 Geschrieben 2. August 2005 Autor Melden Teilen Geschrieben 2. August 2005 ich habe zwar mit dem MIIS noch nichts zu tun gehabt, aber der spielt hier imho auch keine Rolle. yop, prinzipiel geht es ja nur um den Benutzer mit dem der MIIS darauf zugreift, ich wollte nur etwas das Thema anschneiden damit man da sganze im Zusammenhang sehen kann. Es hätte ja auch sein können das man auf eine mir unbekannte weise hätte besser lösen können. Lieber ein paar Infos zuviel als zu wenig. Danke für die Infos Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.