Jump to content

Bneutzerrechte bis auf LDAP Zugriff einschränken


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo Kollegen,

gibt es eine Möglichkeit einem Benutzer die Rechte soweit einzuschränken das er nur noch über LDAP Anfragen am AD stellen kann und Änderungen am AD durchführen kann. Es soll also keine Domänenanmeldeung oder lokale Anmeldung am Server möglich sein. Das AD wird in diesem Fall wirklich nur als Directory genutzt. Ich habe schon einiges probiert aber es hört sich einfacher an als es wohl ist. :confused:

 

Vielen Dank schon mal.

 

Gruß

Herb

Link zu diesem Kommentar

Bonjour,

 

Ich brauche wirklich nur einen User der lediglich das Recht hat im AD per LDAP zu lesen und zu schreiben.

 

standardmäßig hat jeder "Authentifizierte Benutzer" (also alle Domänen-Benutzer) das Leserecht aus das AD. Nun könntest du gezielt über eine Objektdelegierung einem Domänen-Benutzer die entsprechenden Schreibrechte z.B. auf ein einzelnes Attribut delegieren.

 

Siehe:

 

LDAP://Yusufs.Directory.Blog/ - Objektdelegierungen einrichten

LDAP://Yusufs.Directory.Blog/ - Der Objektdelegierungsassistent

LDAP://Yusufs.Directory.Blog/ - Delegierte Berechtigungen im AD verstehen

Link zu diesem Kommentar

Hallo,

ich möchte für eine Webanwendung die direkt in das AD schreibt und daraus liest einen User haben der einen authentifizierten LDAP Bind am AD machen darf und sonst nichts anderes.Also z.B. keine Anmeldung an der Domäne. Oder umgekehrt, wie kann ich einen Domänen-Benutzer das recht entziehen sich an der Domäne anzumelden und trotzdem einen authentifizierten Bind am AD zu machen?

 

Ich hoffe das es jetzt besser verständlich ist.

Danke für Eure Hilfe

 

Gruß

Herb

Link zu diesem Kommentar

Moin,

 

sag ich doch: Du suchst ADAM/AD LDS.

 

Wenn du immer noch der Meinung bist, das sei es nicht, dann solltest du dein Ziel schildern und nicht deine bisherigen Überlegungen. Mir ist z.B. nicht klar, wie ein User einen authentisierten Zugriff machen soll, ohne sich anzumelden (meiner begrenzten Kenntnis nach bezeichnet "Authentisieren" den Vorgang der Anmeldung - wenn du da anderes weißt, bitte ich um Erläuterung). Noch weniger klar ist, warum du so einem User gestatten willst, ins AD zu schreiben.

 

Was soll der User denn im AD lesen können? Und was soll er schreiben?

 

Gruß, Nils

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...