herb 10 Posted June 2, 2009 Report Posted June 2, 2009 Hallo Kollegen, gibt es eine Möglichkeit einem Benutzer die Rechte soweit einzuschränken das er nur noch über LDAP Anfragen am AD stellen kann und Änderungen am AD durchführen kann. Es soll also keine Domänenanmeldeung oder lokale Anmeldung am Server möglich sein. Das AD wird in diesem Fall wirklich nur als Directory genutzt. Ich habe schon einiges probiert aber es hört sich einfacher an als es wohl ist. :confused: Vielen Dank schon mal. Gruß Herb Quote
NilsK 2,987 Posted June 2, 2009 Report Posted June 2, 2009 Moin, ich vermute mal, dass du sowas suchst: Windows Server 2003 Active Directory Application Mode Übersicht über AD LDS faq-o-matic.net Adam und Eva Gruß, Nils Quote
herb 10 Posted June 2, 2009 Author Report Posted June 2, 2009 Hallo Nils, ADAM geht in die Richtung.Ist aber für meine Zwecke zu aufwendig. Ich brauche wirklich nur einen User der lediglich das Recht hat im AD per LDAP zu lesen und zu schreiben. Ich denke das es evtl. über eine OU zu machen ist aber ich weis es nicht wirklich. Gruß Herb Quote
Daim 12 Posted June 2, 2009 Report Posted June 2, 2009 Bonjour, Ich brauche wirklich nur einen User der lediglich das Recht hat im AD per LDAP zu lesen und zu schreiben. standardmäßig hat jeder "Authentifizierte Benutzer" (also alle Domänen-Benutzer) das Leserecht aus das AD. Nun könntest du gezielt über eine Objektdelegierung einem Domänen-Benutzer die entsprechenden Schreibrechte z.B. auf ein einzelnes Attribut delegieren. Siehe: LDAP://Yusufs.Directory.Blog/ - Objektdelegierungen einrichten LDAP://Yusufs.Directory.Blog/ - Der Objektdelegierungsassistent LDAP://Yusufs.Directory.Blog/ - Delegierte Berechtigungen im AD verstehen Quote
NilsK 2,987 Posted June 2, 2009 Report Posted June 2, 2009 Moin, ADAM geht in die Richtung.Ist aber für meine Zwecke zu aufwendig. Ich brauche wirklich nur einen User der lediglichdas Recht hat im AD per LDAP zu lesen und zu schreiben. wie Yusuf schon sagt, ist das Standard. Gib bitte bekannt, was du genau erreichen möchtest, sonst reden wir nur aneinander vorbei. Gruß, Nils Quote
herb 10 Posted June 2, 2009 Author Report Posted June 2, 2009 Hallo, ich möchte für eine Webanwendung die direkt in das AD schreibt und daraus liest einen User haben der einen authentifizierten LDAP Bind am AD machen darf und sonst nichts anderes.Also z.B. keine Anmeldung an der Domäne. Oder umgekehrt, wie kann ich einen Domänen-Benutzer das recht entziehen sich an der Domäne anzumelden und trotzdem einen authentifizierten Bind am AD zu machen? Ich hoffe das es jetzt besser verständlich ist. Danke für Eure Hilfe Gruß Herb Quote
NilsK 2,987 Posted June 2, 2009 Report Posted June 2, 2009 Moin, sag ich doch: Du suchst ADAM/AD LDS. Wenn du immer noch der Meinung bist, das sei es nicht, dann solltest du dein Ziel schildern und nicht deine bisherigen Überlegungen. Mir ist z.B. nicht klar, wie ein User einen authentisierten Zugriff machen soll, ohne sich anzumelden (meiner begrenzten Kenntnis nach bezeichnet "Authentisieren" den Vorgang der Anmeldung - wenn du da anderes weißt, bitte ich um Erläuterung). Noch weniger klar ist, warum du so einem User gestatten willst, ins AD zu schreiben. Was soll der User denn im AD lesen können? Und was soll er schreiben? Gruß, Nils Quote
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.