schroeder750 10 Geschrieben 27. Juli 2009 Melden Geschrieben 27. Juli 2009 Hallo zusammen, hab eine kurze Frage: wir müssen eine benutzerspezifische Info speichern, die aber ausser uns Admins niemand sehen soll. Es geht hier in diesem Fall um ein vereinbartes Passwort, welches z.B. am Telefon genannt werden muss, damit zentral ein Passwort zurückgesetzt wird oder ähnliches, eine Art telefonische Authentifizierung also... Klar könnte man jetzt wieder eine Excel-Tabelle oder ähnliches erstellen, es wäre aber wesentlich praktischer, diese Info direkt beim User im (W2K3)AD gespeichert zu haben. Wenn ich jetzt etwas in das Feld "Beschreibung" setze, habe ich momentan den Eindruck, daß ein NICHT-administrativer Account diese Info eigentlich nicht sehen kann (über Outlook, Suche im AD oder ähnliches). Sehe ich das richtig? Wollte mich da nur mal rückversichern, nicht daß es doch eine Methode gibt, wie man als normaler User so etwas auslesen kann... Bin für jeden Hinweis dankbar ;) Grüsse schroeder750
NilsK 3.046 Geschrieben 27. Juli 2009 Melden Geschrieben 27. Juli 2009 Moin, fast alle AD-Felder kann ein normaler User lesen. Bei seinem eigenen Account sowieso. Es mag sein, dass die Programme, mit denen User normalerweise zu tun hat, viele Felder nicht anzeigen, aber das hat mit Sicherheit nichts zu tun - es gibt genügend Programme (auch Bordmittel), die das eben doch zeigen. Ihr müsstet also auf dem entsprechenden Feld die Berechtigungen so ändern, dass nur die gewünschte Gruppe darauf Zugriff hat. Dazu kommt nur ein Feld in Frage, das von den Standardprogrammen nicht genutzt wird, sonst könnt ihr durch solche eingeschränkten Berechtigungen Inkompatibilitäten erzeugen. Sorgfältiges Design und Testen ist also unabdingbar. Berechtigungen dieser Art solltet ihr nur per dsacls setzen, nicht per GUI. Hilfreich, wenn auch nicht 100 Prozent passend: faq-o-matic.net AD-Adressen im Sekretariat bearbeiten lassen Je nach Sicherheitsanforderung könnte es übrigens durchaus sinnvoller sein, die von dir genannten Kennwörter in einer separaten Datenbank zu speichern. Gruß, Nils
frr 11 Geschrieben 27. Juli 2009 Melden Geschrieben 27. Juli 2009 Hallo, ergänzend zu Nils: How to mark an attribute as confidential in Windows Server 2003 Service Pack 1 Viele Grüße Frank Röder
schroeder750 10 Geschrieben 27. Juli 2009 Autor Melden Geschrieben 27. Juli 2009 Hi Leute, ich danke Euch schonmal vielmals, werde mir das in den nächsten Tagen in Ruhe zu Gemüte führen. Danach werden wir dann in Ruhe entscheiden, was der einfachere Weg sein wird... Eintrag ins AD + sicheres "Verstecken" oder evtl. doch ne Excel-Tabelle mit den Infos irgendwo zentral abgelegt. Danke an alle!!! Grüsse schroeder750
Empfohlene Beiträge
Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren
Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können
Benutzerkonto erstellen
Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!
Neues Benutzerkonto erstellenAnmelden
Du hast bereits ein Benutzerkonto? Melde dich hier an.
Jetzt anmelden