SVC 10 Geschrieben 26. Oktober 2012 Melden Geschrieben 26. Oktober 2012 Hallo zusammen, im Zusammenhang mit einem bevorstehen Release bei uns habe ich eine Frage zur Granularität der Berechtigungsvergabe im AD. Vorhaben: Für eine definierte OU möchte ich für einen Service Account die folgende Berechtigung setzen: Erlaube das Hinzufügen und Löschen von berechtigen Objekten innerhalb des Attributes Member, allerdings nur wenn das Objekt einem bestimmten Typ angehört (in unserem Fall User). Unser Problem ist, dass unsere Service Account automatisiert Gruppenmitgliedschaften verwaltet. Dies soll er aber nur für User Objekte tun. Gegenwärtig würde der SVC auch verschachtelte Gruppenmitgliedschaften, Kontakte und oder Clients löschen. Das möchten wir dem Service Account gerne austreiben
NorbertFe 2.277 Geschrieben 26. Oktober 2012 Melden Geschrieben 26. Oktober 2012 Gruppenmitgliedschaft ist aber keine Eigenschaft des Nutzers, sondern der Gruppe. ;) Und wenn er keine Schachtelung betreiben soll, dann darf er nur Zugriff auf die Gruppen bekommen, die er verwalten soll und für die gibt's dann eine entsprechende organisatorische VOrgabe, was erlaubt ist und was nicht. Alles andere ließe sich (wenn überhaupt) nur über ein entsprechendes Provisioning System abfangen. Bye Norbert
SVC 10 Geschrieben 26. Oktober 2012 Autor Melden Geschrieben 26. Oktober 2012 Danke für die schnelle Antwort. Ich glaube aber, dass ich mich falsch ausgedrückt habe. Ja; Member ist das Attribut einer Gruppe. Unser Service User betrachtet entsprechend auch nur Gruppen und Ihre Mitgliedschaften. Ich möchte jedoch erreichen, dass der Service User innerhalb des Attributes "Member" einer Gruppe nur Objekte des Typs "User" löscht. Zur Zeit sieht es so aus: Gruppe "Test" hat folgende Mitglieder: 1. Norbert (Typ: User) 2. Manfred (Typ: User) 3. Test2 (Typ: Gruppe) 4. Rechner01 (Typ: Client) Der Service Account hat die Berechtigung das Attribut "Member" zu verändern. Er sollte aber nur Objekte vom Typ User löschen dürfen. Egal welche Operation dem SVC Account übergeben wird. Am Ende muss die Gruppe "Test" noch diese Mitglieder besitzen: 3. Test2 (Typ: Gruppe) 4. Rechner01 (Typ: Client)
NorbertFe 2.277 Geschrieben 26. Oktober 2012 Melden Geschrieben 26. Oktober 2012 Das geht nicht. Sowas müsstest du dann über ein anderes System (wie oben bereits erwähnt) abfangen.
Empfohlene Beiträge
Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren
Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können
Benutzerkonto erstellen
Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!
Neues Benutzerkonto erstellenAnmelden
Du hast bereits ein Benutzerkonto? Melde dich hier an.
Jetzt anmelden