herb

Hallo, ich möchte für eine Webanwendung die direkt in das AD schreibt und daraus liest einen User haben der einen authentifizierten LDAP Bind am AD machen darf und sonst nichts anderes.Also z.B. keine Anmeldung an der Domäne. Oder umgekehrt, wie kann ich einen Domänen-Benutzer das recht entziehen sich an der Domäne anzumelden und trotzdem einen authentifizierten Bind am AD zu machen? Ich hoffe das es jetzt besser verständlich ist. Danke für Eure Hilfe Gruß Herb

Hallo Nils, ADAM geht in die Richtung.Ist aber für meine Zwecke zu aufwendig. Ich brauche wirklich nur einen User der lediglich das Recht hat im AD per LDAP zu lesen und zu schreiben. Ich denke das es evtl. über eine OU zu machen ist aber ich weis es nicht wirklich. Gruß Herb

Hallo Kollegen, gibt es eine Möglichkeit einem Benutzer die Rechte soweit einzuschränken das er nur noch über LDAP Anfragen am AD stellen kann und Änderungen am AD durchführen kann. Es soll also keine Domänenanmeldeung oder lokale Anmeldung am Server möglich sein. Das AD wird in diesem Fall wirklich nur als Directory genutzt. Ich habe schon einiges probiert aber es hört sich einfacher an als es wohl ist. :confused: Vielen Dank schon mal. Gruß Herb

Hallo olc, es soll ja nicht generell allen "Authenticated User" der Lesezugriff auf das AD verweigert werden, sondern eben nur das lesen des UPN der User einer bestimmten OU. Das sollte doch möglich sein, oder? Nur ich brings bis jetzt leider nicht hin. :confused: Gruß Herb

Hallo zusammen, danke schon mal für die rege Diskussion.Ich habe das ganze etwas grob geschildert. Ich will dieser OU bestimmte User zuordnen. Danach soll nur der Gruppe "Authentisierte Benutzer" des Recht entzogen werden den UPN dieser User zu sehen oder zu browsen. Das System sowie Anwendungen oder Admins sind in keiner weise davon betroffen.Es führt zuweit an dieser Stelle das komplette Konstrukt zu erklären, nur soviel das hier die Vorgaben, die für eine reine Windows Umgebung seltsam aussehen mögen, durch eine bereits existierende LDAP und Unix Infrastruktur vorgegeben sind. Mein Problem ist hier die mangelnde Erfahrung mit den Berechtigungen im AD und ich finden im TechNet leider nichts passendes.Daher mein Hilferuf hier im Forum. Gruß Herb

Hallo Nils, warum sollte das technisch gefährlich sein.Es ist eine Anforderung des Datenschutz das der Anmeldename (er ist gleichzeitig der Profilname des Zertifikats) nicht von dritten (ausser dem System selbst und den Admins) gelesen werden kann. Haben wir in einer reinen LDAP Lösung auch Problemlos am laufen.Kannst Du mir sagen was ich im AD hier falsch mache? Wäre klasse. Gruß Herb

Hallo Kollegen, folgendes Szenario: Eine OU mit Usern.Bei diesen Usern darf der UPN (Anmeldename) nicht gelesen werden.Also auch nicht mit einem LDAP Explorer. Wenn diese Regel (Anmeldename lesen --> verweigern) direkt beim User angewendet wird funktioniert das ganze.Ich muss diese Regel aber auf der OU für alle darin enthaltenen User anwenden und da bekomme ich das nicht hin. Ich kann die Regel zwar setzen aber sie wird nicht angewendet. Wo ist da der Haken?? Wäre klasse wenn da einer nen Tipp für mich hätte. Ach ja......der Server ist W2k8. Gruß Herb

Habt Dank für Eure Informationen. Dann werde ich mir für die nächsten Monate mal die 298,299 und die 351 vornehmen. Habt Ihr Tipps bezüglich spezieller Lektüre?? Oder taugen da die MS-Press Bücher? Gruß hERB

Danke Dir für die schnelle Antwort.Ehrlich gesagt fällt es mir rein gedanklich etwas schwer Prüfungen für ein "altes System" zu machen.Allerdings hast Du wohl recht wenn es da eines Tages ein Update dafür geben sollte tut man sich wesentlich leichter. Kannst Du aus dem Stehgreif sagen welche Prüfungen für den 2003 - S ich noch machen müsste? Gruß hERB

Hallo, ich hab auf meine alten Tage nochmal angepackt und den MCITP SA/EA gemacht.Ich bin im Security/PKI Umfeld tätig und frage mich was ich sinnvoll in dieser Richtung noch machen kann.Die alten Securitys für 2000/2003 habe ich damals leider nicht gemacht. Lohnt sich das noch oder gibt es was adäquates für die 2008 Schiene. Gruß hERB MCSA/MCSE/MCDBA W2k MCSA/MCSE W2k3

Hallo Markus, in Ulm bei Scanplus,in Stuttgart u.a. bei GFN und in Böblingen bei AddOn. Die Adressen findest Du ja leicht selber. DU meinst ja sicherlich die regulären MCSE Prüfungen und nicht die Updates von W2k.Die sind definitiv abgelaufen. Gruß hERB

Na das vergesse ich auch nicht so schnell.Nach diesen ganzen Querelen mit der 292 und dann der Assel bei der 296 ich hätte ja beinahe aufgegeben.Hab es dann ja doch noch gepackt mit 750 Pkt. Allerdings bleibt der fahle Beigeschmack (auch heute 3 Abstürze) und wenn ich mir den Report anschaue (5 x 100% 4x 90% 1x70%) und da kommen dann 750 Pkt raus?????? Ich weis nicht was ich davon halten soll.Kann mich wiederum meinem Vorredner anschließen: Es war die schwerste Prüfung die ich bisher gemacht habe (einschl. aller Cisco und IBM Prüfungen). Glückwunsch an alle die diese Prüfungen gemeistert haben. Gruß hERB

Hallo Uxmax, Du sprichst mir aus der Seele.Ich werde es morgen auch noch mal probieren. Ich denke auch das ich gut vorbereitet war/bin und trotzdem habe ich ein ungutes Gefühl bei der Sache.Ich wünschte das sich MS doch wieder mit VUE zusammen tut.Da hatte ich bei 11 Prüfungen nie ein Problem. Ich wünsche allen viel Glück die Morgen noch die allerletzte Chance nutzen wollen und natürlich auch für jede andere Prüfung. hERB

Hallo Kollegen, hab heute die 296 gemacht.Durchgefallen mit 663 Punkten. Gefühlsmäßig hatte ich bei 5 von 50 Fragen Probleme. Der Report sieht aus wie folgt: 3 x 100% 4 x 90% 2 x 70% 1 x 30% (es waren 3 Fragen zu dem Thema) Der Typ im Testzentrum hat mir erstmal gratuliert als er das Diagramm angeschaut hat.Erst danach hat er die Punktzahl gelesen und den Kopf geschüttelt. Knapp daneben ist auch vorbei aber so durch eine Prüfung zu fallen ist nicht OK. Ich überlege mir auf jeden Fall ob ich in Zukunft noch beruflich auf Microsoft setzen soll. So macht es keinen Spaß! Gruß hERB:mad:

Ja, wurde mir so von der Prometric Kundenbetreuung am Telefon mitgeteilt. Gruß hERB