Jump to content

Rechte um Gruppenzugehörigkeit abzufragen


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Recommended Posts

Hi,

 

wie kann ich die Rechte für einen User setzen, damit er die Gruppenzugehörigkeit für User auslesen kann?

 

Hintergrund ist der: Ich habe eine Webapplikation auf einem internen Apache mit Kerberos SSO konfiguriert.

 

Und für die Rechtevergabe werden die AD-Gruppen benutzt. Dafür muss der User, den ich für die Abfrage nutze, diese Rechte haben.

 

Dieser User soll nur die Gruppenzugehörigkeit auslesen können. Keine Änderungen oder sonstiges machen können!

 

Active Directory: Windows 2003 Pur Mode, mit 2 Win2k3 DC´s und einem Win2k8R2 DC.

Link to comment
Hallo,

 

die Gruppenzugehörigkeit ist bei AD-Usern im Attribut "memberOf", das ist ein gewöhnliches Attribut, auf das im AD _JEDER_ angemeldete User Leserechte hat. Du brauchst also keine speziellen Rechte zu vergeben :)

 

Liste der User-Attribute:

SelfADSI : Attribute für AD User (Windows 2008)

 

Gruß,

Philipp

 

Hat aber erst funktioniert, nachdem ich die Delegierung eingerichtet hatte.

Link to comment

Hallo,

 

Sorry wenn ich da widersprechen muss. Keine Ahnung was du da angeschaut hast mit dem ADSIEdit, aber: Es gibt kein Recht "Gruppenmitgliedschaften lesen", es gibt Rechte auf das gesamte Objekt, oder dessen Attribute, oder ein paar spezielle Rechte wie z.B. "Passwort setzen".

 

Standardeintrag für "Authenticated Users" ist auf alle Objekte in einer Domäne der folgende:

 

"List Content" für Container + OUs

"Read all Propertiers" <- hier ist das Auslesen der Gruppenmitliedschaft drin

"Read permissions"

 

In der Schnellübersicht der Rechte siehst du das bei den Authenticated Users schlicht als Häckchen bei "READ", für die Einzelheiten mußt du die "Advanced Settings" aufmachen....

 

Andernfalls wurden die Standardrechte in Deinem AD verändert, was aber sehr exotisch wäre.... Kannst ja mal einen DSACL Output des betreffenden Objektes posten, da wären die Einzelheiten auch zu sehen....

 

Gruß,

Philipp

Link to comment
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...