herb 10 Geschrieben 2. Juni 2009 Melden Teilen Geschrieben 2. Juni 2009 Hallo Kollegen, gibt es eine Möglichkeit einem Benutzer die Rechte soweit einzuschränken das er nur noch über LDAP Anfragen am AD stellen kann und Änderungen am AD durchführen kann. Es soll also keine Domänenanmeldeung oder lokale Anmeldung am Server möglich sein. Das AD wird in diesem Fall wirklich nur als Directory genutzt. Ich habe schon einiges probiert aber es hört sich einfacher an als es wohl ist. :confused: Vielen Dank schon mal. Gruß Herb Zitieren Link zu diesem Kommentar
NilsK 2.918 Geschrieben 2. Juni 2009 Melden Teilen Geschrieben 2. Juni 2009 Moin, ich vermute mal, dass du sowas suchst: Windows Server 2003 Active Directory Application Mode Übersicht über AD LDS faq-o-matic.net Adam und Eva Gruß, Nils Zitieren Link zu diesem Kommentar
herb 10 Geschrieben 2. Juni 2009 Autor Melden Teilen Geschrieben 2. Juni 2009 Hallo Nils, ADAM geht in die Richtung.Ist aber für meine Zwecke zu aufwendig. Ich brauche wirklich nur einen User der lediglich das Recht hat im AD per LDAP zu lesen und zu schreiben. Ich denke das es evtl. über eine OU zu machen ist aber ich weis es nicht wirklich. Gruß Herb Zitieren Link zu diesem Kommentar
Daim 12 Geschrieben 2. Juni 2009 Melden Teilen Geschrieben 2. Juni 2009 Bonjour, Ich brauche wirklich nur einen User der lediglich das Recht hat im AD per LDAP zu lesen und zu schreiben. standardmäßig hat jeder "Authentifizierte Benutzer" (also alle Domänen-Benutzer) das Leserecht aus das AD. Nun könntest du gezielt über eine Objektdelegierung einem Domänen-Benutzer die entsprechenden Schreibrechte z.B. auf ein einzelnes Attribut delegieren. Siehe: LDAP://Yusufs.Directory.Blog/ - Objektdelegierungen einrichten LDAP://Yusufs.Directory.Blog/ - Der Objektdelegierungsassistent LDAP://Yusufs.Directory.Blog/ - Delegierte Berechtigungen im AD verstehen Zitieren Link zu diesem Kommentar
NilsK 2.918 Geschrieben 2. Juni 2009 Melden Teilen Geschrieben 2. Juni 2009 Moin, ADAM geht in die Richtung.Ist aber für meine Zwecke zu aufwendig. Ich brauche wirklich nur einen User der lediglichdas Recht hat im AD per LDAP zu lesen und zu schreiben. wie Yusuf schon sagt, ist das Standard. Gib bitte bekannt, was du genau erreichen möchtest, sonst reden wir nur aneinander vorbei. Gruß, Nils Zitieren Link zu diesem Kommentar
herb 10 Geschrieben 2. Juni 2009 Autor Melden Teilen Geschrieben 2. Juni 2009 Hallo, ich möchte für eine Webanwendung die direkt in das AD schreibt und daraus liest einen User haben der einen authentifizierten LDAP Bind am AD machen darf und sonst nichts anderes.Also z.B. keine Anmeldung an der Domäne. Oder umgekehrt, wie kann ich einen Domänen-Benutzer das recht entziehen sich an der Domäne anzumelden und trotzdem einen authentifizierten Bind am AD zu machen? Ich hoffe das es jetzt besser verständlich ist. Danke für Eure Hilfe Gruß Herb Zitieren Link zu diesem Kommentar
NilsK 2.918 Geschrieben 2. Juni 2009 Melden Teilen Geschrieben 2. Juni 2009 Moin, sag ich doch: Du suchst ADAM/AD LDS. Wenn du immer noch der Meinung bist, das sei es nicht, dann solltest du dein Ziel schildern und nicht deine bisherigen Überlegungen. Mir ist z.B. nicht klar, wie ein User einen authentisierten Zugriff machen soll, ohne sich anzumelden (meiner begrenzten Kenntnis nach bezeichnet "Authentisieren" den Vorgang der Anmeldung - wenn du da anderes weißt, bitte ich um Erläuterung). Noch weniger klar ist, warum du so einem User gestatten willst, ins AD zu schreiben. Was soll der User denn im AD lesen können? Und was soll er schreiben? Gruß, Nils Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.