2K3R2 - Benutzerrechte / User soll über LDAP änderungen an Benutzerobjekten vornehmen können
Hallo zusammen!
Ich stehe aktuell vor dem Problem, dass ich gerne einen Benutzer im Active Directory hätte, welcher die Möglichkeit hat bestimmte Felder (in meinem Testfall die Telefonnummer) eines Users über LDAP zu ändern. Der User ist nur als Domänen-Benutzer eingerichtet und soll auf die OU, in welcher sich die Benutzerobjekte befinden nur explizite Rechte für das Lesen und Schreiben der Attribute haben. Ich finde aber aus irgendeinem Grund nicht die passenden Rechte, um das zu realisieren.
Nun dachte ich mir, dass ich dem User ja testweise einfach Vollzugriff auf die OU geben kann, doch selbst mit Vollzugriff funktioniert eine Änderung nicht. Muss der User evtl. auf Domänen-Ebene noch spezielle Rechte erhalten?
Die Fehlermeldung, die ich mit dem User über einen LDAP-Browser erhalte ist folgende:
LDAP: error code 50 - 00002098: SecErr: DSID-03150A48, problem 4003 (INSUFF_ACCESS_RIGHTS), data
Hat da jemand schon evtl. eine Idee zur Lösung oder könnte mir weiterführende Literatur nennen? Wäre super!
Super, vielen Dank! Nur noch eine kurze Frage. Ist es über die normale AD-Verwaltungskonsole nicht möglich die Rechte für die Felder zu setzen?
edit: So, hab es über Sicherheit -> Erweitert -> Berechtigungen gefunden. Hab hier jetzt auch einfach mal für alles Vollzugriff gewährt, das Problem besteht allerdings weiterhin. Kann das Feld beim User nicht ändern
Geändert von BradCirclepit (09.02.2012 um 17:55 Uhr).
Auch hier vielen Dank, nur leider funktioniert das seltsamerweise immernoch nicht. Habe jetzt auch den LDAP-Client mal weggelassen und versucht die Werte mit einer MMC in einer VM zu ändern. Hier werden alle Felder weiterhin ausgegraut, obwohl ich die Rechte einmal über DSACLS , wie von NilsK genannt, und einmal jetzt über die Delegation geändert habe. Irgendwas scheint da noch zwischen zu schießen, ich habe aber keine Ahnung. Es funktioniert erst, wenn ich dem Benutzer zum Domänen-Admin mache, aber genau das kann ja wohl nicht der Sinn der Sache sein
Noch jemand eine Idee? Kann ich durch irgendeinen Befehl unter Umständen auslesen lassen, woran das liegen kann?
Super, vielen Dank! Nur noch eine kurze Frage. Ist es über die normale AD-Verwaltungskonsole nicht möglich die Rechte für die Felder zu setzen?
doch, steht doch dabei. Ist aber nicht sinnvoll (steht auch dabei).
Und bedenke: AD-Berechtigungen wachsen sich schnell zu einer sehr komplexen Angelegenheit aus, auch wenn die ursprüngliche Anforderung trivial sein mag. Intensives testen und große Sorgfalt sind unabdingbar.
Irgendwas scheint da noch zwischen zu schießen, ich habe aber keine Ahnung. Es funktioniert erst, wenn ich dem Benutzer zum Domänen-Admin mache, aber genau das kann ja wohl nicht der Sinn der Sache sein
Noch jemand eine Idee? Kann ich durch irgendeinen Befehl unter Umständen auslesen lassen, woran das liegen kann?
Mit den paar Infos kann man dir nicht wirklich helfen. Wie Nils schon sagte, das wird sehr schnell sehr komplex und meist am Anfang unterschätzt. Also teste sowas erstmal in einem Lab und nicht in der Liveumgebung.
Bye
Norbert
PS: Fakt ist, beide Links (Nils' und meiner) sind korrekt und funktionieren in einem normalen Umfeld.
Hatte mich jetzt mti Liza auf die Suche nach dem Grund gemacht und aus irgendeinem Grund war bei bestimmten Userobjekten die Vererbung deaktiviert. Ich hab keine Ahnung wieso, aber auf jeden Fall funktionierte die Bearbeitung der jeweiligen Felder danach ohne Probleme. Netterweise war das mit der deaktivierten Vererbung gerade bei den Usern, mit denen ich getestet hatte
Kann ich durch irgendeinen Befehl unter Umständen auslesen lassen, woran das liegen kann?
