Jump to content

Userdaten Pflege

StephanR

Von StephanR
in Active Directory Forum

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

StephanR Contributor

StephanR   10

Geschrieben
Geschrieben

Hallo,

 

ich würde gerne unseren Usern die Möglichkeit geben, bestimmte Attribute ihres AD-Objektes zu pflegen. D. h. der angemeldete User soll die Möglichkeit haben bestimmte Attribute (Telefonnummber, Vertreter, etc.) seines AD-Users zu editieren.

Kennt jemand Lösungen, die eine solche Funktionalität bereitstellen?

 

Umgebung:

Domäne: Active Directory

DC: Windows Server 2008 R2

Groupware: Lotus Domino

 

Danke und Gruß

Link zu diesem Kommentar
NilsK Grand Master

NilsK   2.789

Geschrieben
Geschrieben

Moin,

 

die Berechtigungen sind standardmäßig bereits so gesetzt, dass ein User sein eigenes Konto an ein paar Stellen bearbeiten darf. Je nachdem, um welche Attribute es geht, ist da also keine Vorbereitung nötig.

 

Neben einer schnellen Migration auf Exchange 2010, wie von Norbert vorgeschlagen ;), käme etwas in der Art vielleicht in Betracht:

 

faq-o-matic.net » AD-Adressen im Sekretariat bearbeiten lassen

 

Gruß, Nils

Link zu diesem Kommentar
  • 3 Wochen später...
StephanR Contributor

StephanR   10

Geschrieben
  • Autor
Geschrieben
Moin,

 

die Berechtigungen sind standardmäßig bereits so gesetzt, dass ein User sein eigenes Konto an ein paar Stellen bearbeiten darf. Je nachdem, um welche Attribute es geht, ist da also keine Vorbereitung nötig.

 

Neben einer schnellen Migration auf Exchange 2010, wie von Norbert vorgeschlagen ;), käme etwas in der Art vielleicht in Betracht:

 

faq-o-matic.net » AD-Adressen im Sekretariat bearbeiten lassen

 

Gruß, Nils

 

Hallo,

 

der Benutzer soll auch Attribute pflegen können, zu der er im Standard keine Berechtigung für eine Editierung hat. Per dsacls kann ich wie auf der Seite erwähnt ja die aktuellen Berechtigungen ändern. Mir stellt sich jetzt nur die Frage, wie es bei neu angelegten Benutzern aussieht. Wo muss man Anpassungen vornehmen, damit neue Benutzer automatisch diese Editierungsrechte bekommen?

Danke und Grüße

Link zu diesem Kommentar
NilsK Grand Master

NilsK   2.789

Geschrieben
Geschrieben (bearbeitet)

Moin,

 

am besten legt man sowas auf der Ebene der OU für untergeordnete Objekte fest, das betrifft dann auch neue Objekte. Wenn es da im konkreten Fall nicht verfügbar ist (weil man z.B. Berechtigungen auf Attributebene verwalten will), bleibt nur, es pro Objekt festzulegen. Dazu braucht es dann einen eigenen Prozess, der das Objekt gleich mit den nötigen Berechtigungen anlegt, mit dem ADUC kann man dann nicht mehr sinnvoll arbeiten.

 

Von der Holzhammer-Methode, die Standard-Berechtigungen zu bearbeiten (defaultSecurityDescriptor) rate ich ab, weil sie eben für "alle" neuen Objekte eines Typs gilt, und das ist meist nicht zielführend.

 

Schöne Grüße, Nils

bearbeitet von NilsK
Link zu diesem Kommentar
RobertWi Grand Master

RobertWi   81

Geschrieben
Geschrieben

Die Berechtigungen in AD gleichen in der Technik denen das Dateisystems (die ganz wenigen Unterschiede oder Besonderheiten wirst Du nicht merken).

 

Du setzt die Berechtigungen also auf der betreffenden OU und lässt die Vererbung des Rest machen.

 

(HINWEIS: Ich kenne Domino nicht gut genug, und weiß daher nicht, ob es eventuell merkwürdige Effekte gibt, wann man an den AD-Berechtigungen spielt. Bei Exchange wären diese vorstellbar, wenn man falsch ändert).

Link zu diesem Kommentar
Sunny61 Grand Master

Sunny61   773

Geschrieben
Geschrieben
(HINWEIS: Ich kenne Domino nicht gut genug, und weiß daher nicht, ob es eventuell merkwürdige Effekte gibt, wann man an den AD-Berechtigungen spielt. Bei Exchange wären diese vorstellbar, wenn man falsch ändert).

IMHO gibt es keinerlei Effekte, zumindest war das so bei der Version 7.02 des Domino Servers, den ich betreute. Domino und das AD gehen vollkommen getrennte Wege.

Link zu diesem Kommentar
StephanR Contributor

StephanR   10

Geschrieben
  • Autor
Geschrieben

Vielen Dank schon mal! :)

In die Berechtigungen der OUs hatte ich bereits reingeschaut, aber bin dort leider an folgendem Punkt hängengeblieben. Und zwar möchte ich ganz konkret die Attribute company, officephone, department und mobile den User pflegen lassen. Die Pflege der Telefonnummern ist im Default gegeben, so dass die Attribute company und department noch für die Anforderung relevant sind.

 

In den Sicherheitseinstellungen der OU finde ich jedoch keine entsprechende Möglichkeit dem User "Selbst" die Berechtigung zum Schreiben auf die Attribute zu geben. Es werden zwar diverse Attribute angezeigt (sehr viele msDS-*) und nur wenig (ich nenn Sie mal kosmetische) wie Name und Straße. Hab ich hier das von Nils benannte Problem, dass eine Berechtigung auf die gewünschten Attribute dort nicht möglich ist? Wäre dann die einzige Alternative Schreiben auf "Alle Eigenschaften schreiben" zuzulassen? Das würde mir ehrlich gesagt nicht so sehr gefallen, oder ist das aus Eurer Sicht ungefährlich?

 

Bezüglich Domino sehe ich ebenfalls keine Probleme, da er vollkommen autonom zum AD läuft.

Link zu diesem Kommentar
NilsK Grand Master

NilsK   2.789

Geschrieben
Geschrieben

Moin,

 

im Detail sind AD-Berechtigungen sehr komplex. Ich würde also selbst dann hier keine einfache Antwort geben, wenn ich eine wüsste (was nicht der Fall ist) - einfach weil sich zu häufig hinterher herausstellt, dass es doch ein bisschen anders war und die (falsche) Änderung Probleme verursacht.

 

Mein Rat dazu: Wenn es wirklich eine geschäftliche Anforderung ist, dann entwickle ein günstiges Vorgehen in einer hermetisch abgeriegelten Laborumgebung. Arbeite mit Skripts, nicht per GUI. Plane ausreichend Zeit ein, denn das ganze System ist sehr komplex und unübersichtlich.

 

http://www.faq-o-matic.net/2010/08/14/ice2010-ad-delegation-die-folien-und-skripts/

 

Schöne Grüße, Nils

Link zu diesem Kommentar
StephanR Contributor

StephanR   10

Geschrieben
  • Autor
Geschrieben

Nein, du solltest den Artikel nochmal lesen. Da steht ganz deutlich drinnen, dass Berechtigungen besser auf Gruppen vergeben werden sollten. ;)

Das ist doch aber mit meiner Anforderung nicht praktikabel oder? Erreichen will ich ja, dass der angemeldete AD-User seine Attribute (company, department, etc.) editieren darf und nicht eine Gruppe von Benutzern. Sonst könnte ja User A die Attribute von User B editieren, wenn diese sich in ein und derselben Gruppe befinden sollten.

Damit dies eben nicht geht würde ich in der OU eine Berechtigung erstellen, die dem Konto "Selbst" das Recht gewährt. Nach Tests gehe ich davon aus, dass "Selbst" das AD-Objekt meint. D. h. der Mitarbeiter kann dann sein eigenes Konto editieren, aber nicht die der anderen. Liege ich damit falsch? Danke!

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
Zurück zur Übersicht


×
×
  • Neu erstellen...