BradCirclepit 10 Geschrieben 9. Februar 2012 Melden Teilen Geschrieben 9. Februar 2012 Hallo zusammen! Ich stehe aktuell vor dem Problem, dass ich gerne einen Benutzer im Active Directory hätte, welcher die Möglichkeit hat bestimmte Felder (in meinem Testfall die Telefonnummer) eines Users über LDAP zu ändern. Der User ist nur als Domänen-Benutzer eingerichtet und soll auf die OU, in welcher sich die Benutzerobjekte befinden nur explizite Rechte für das Lesen und Schreiben der Attribute haben. Ich finde aber aus irgendeinem Grund nicht die passenden Rechte, um das zu realisieren. Nun dachte ich mir, dass ich dem User ja testweise einfach Vollzugriff auf die OU geben kann, doch selbst mit Vollzugriff funktioniert eine Änderung nicht. Muss der User evtl. auf Domänen-Ebene noch spezielle Rechte erhalten? Die Fehlermeldung, die ich mit dem User über einen LDAP-Browser erhalte ist folgende: LDAP: error code 50 - 00002098: SecErr: DSID-03150A48, problem 4003 (INSUFF_ACCESS_RIGHTS), data Hat da jemand schon evtl. eine Idee zur Lösung oder könnte mir weiterführende Literatur nennen? Wäre super! Vielen Dank schonmal im voraus! Zitieren Link zu diesem Kommentar
NilsK 2.791 Geschrieben 9. Februar 2012 Melden Teilen Geschrieben 9. Februar 2012 Moin, faq-o-matic.net » AD-Adressen im Sekretariat bearbeiten lassen Gruß, Nils Zitieren Link zu diesem Kommentar
BradCirclepit 10 Geschrieben 9. Februar 2012 Autor Melden Teilen Geschrieben 9. Februar 2012 (bearbeitet) Moin, faq-o-matic.net » AD-Adressen im Sekretariat bearbeiten lassen Gruß, Nils Super, vielen Dank! Nur noch eine kurze Frage. Ist es über die normale AD-Verwaltungskonsole nicht möglich die Rechte für die Felder zu setzen? edit: So, hab es über Sicherheit -> Erweitert -> Berechtigungen gefunden. Hab hier jetzt auch einfach mal für alles Vollzugriff gewährt, das Problem besteht allerdings weiterhin. Kann das Feld beim User nicht ändern :( bearbeitet 9. Februar 2012 von BradCirclepit Zitieren Link zu diesem Kommentar
NorbertFe 1.826 Geschrieben 9. Februar 2012 Melden Teilen Geschrieben 9. Februar 2012 Active Directory Aufgaben Delegation eventuell hilt dir das weiter. Vollzugriff ist Imho keine Lösung. Bye Norbert Zitieren Link zu diesem Kommentar
BradCirclepit 10 Geschrieben 10. Februar 2012 Autor Melden Teilen Geschrieben 10. Februar 2012 Active Directory Aufgaben Delegation eventuell hilt dir das weiter. Vollzugriff ist Imho keine Lösung. Bye Norbert Auch hier vielen Dank, nur leider funktioniert das seltsamerweise immernoch nicht. Habe jetzt auch den LDAP-Client mal weggelassen und versucht die Werte mit einer MMC in einer VM zu ändern. Hier werden alle Felder weiterhin ausgegraut, obwohl ich die Rechte einmal über DSACLS , wie von NilsK genannt, und einmal jetzt über die Delegation geändert habe. Irgendwas scheint da noch zwischen zu schießen, ich habe aber keine Ahnung. Es funktioniert erst, wenn ich dem Benutzer zum Domänen-Admin mache, aber genau das kann ja wohl nicht der Sinn der Sache sein :D Noch jemand eine Idee? :) Kann ich durch irgendeinen Befehl unter Umständen auslesen lassen, woran das liegen kann? Zitieren Link zu diesem Kommentar
NilsK 2.791 Geschrieben 10. Februar 2012 Melden Teilen Geschrieben 10. Februar 2012 Moin, Super, vielen Dank! Nur noch eine kurze Frage. Ist es über die normale AD-Verwaltungskonsole nicht möglich die Rechte für die Felder zu setzen? doch, steht doch dabei. Ist aber nicht sinnvoll (steht auch dabei). Und bedenke: AD-Berechtigungen wachsen sich schnell zu einer sehr komplexen Angelegenheit aus, auch wenn die ursprüngliche Anforderung trivial sein mag. Intensives testen und große Sorgfalt sind unabdingbar. http://www.faq-o-matic.net/2010/08/14/ice2010-ad-delegation-die-folien-und-skripts/ Um dir die bestehenden Berechtigungen genauer ansehen zu können, eignet sich LIZA: http://www.faq-o-matic.net/2010/04/06/liza-berechtigungen-in-active-directory-analysieren/ Gruß. Nils Zitieren Link zu diesem Kommentar
NorbertFe 1.826 Geschrieben 10. Februar 2012 Melden Teilen Geschrieben 10. Februar 2012 Irgendwas scheint da noch zwischen zu schießen, ich habe aber keine Ahnung. Es funktioniert erst, wenn ich dem Benutzer zum Domänen-Admin mache, aber genau das kann ja wohl nicht der Sinn der Sache sein :D Noch jemand eine Idee? :) Kann ich durch irgendeinen Befehl unter Umständen auslesen lassen, woran das liegen kann? Mit den paar Infos kann man dir nicht wirklich helfen. Wie Nils schon sagte, das wird sehr schnell sehr komplex und meist am Anfang unterschätzt. Also teste sowas erstmal in einem Lab und nicht in der Liveumgebung. Bye Norbert PS: Fakt ist, beide Links (Nils' und meiner) sind korrekt und funktionieren in einem normalen Umfeld. Zitieren Link zu diesem Kommentar
BradCirclepit 10 Geschrieben 20. Februar 2012 Autor Melden Teilen Geschrieben 20. Februar 2012 Hatte mich jetzt mti Liza auf die Suche nach dem Grund gemacht und aus irgendeinem Grund war bei bestimmten Userobjekten die Vererbung deaktiviert. Ich hab keine Ahnung wieso, aber auf jeden Fall funktionierte die Bearbeitung der jeweiligen Felder danach ohne Probleme. Netterweise war das mit der deaktivierten Vererbung gerade bei den Usern, mit denen ich getestet hatte :D Auf jeden Fall vielen Dank für eure Mühe! Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.