dsa.msc (aduc) als read-only erlauben (Active Directory-Benutzer und -Computer)

[Dirk-HH-83 14]

Hallo, 

 

kann ein Domänenuser das recht bekommen direkt auf dem DC dsa.msc (ADUC) als READ Only aufzurufen?

Das man dsa.msc als MMC Snapin theoretisch auch auf seinem Domänen-PC starten könnte kann ich mir vorstellen.

Wenn das nicht so leicht geht, jemand der ADUC aufrufen darf, aber z.B. nicht gleich die heikle Dinge machen darf ginge auch.

Ich weiß, die Frage ist nicht so valide ohne Background Infos, wieso/weshalb/warum/für wen. Gut möglich, das es ohne die vorgenannten Infos schwer zu machen wäre.

 

 

 

bearbeitet Freitag um 13:38 von Dirk-HH-83
..

[v-rtc 94]

Moin. Wenn alle User lesen können im AD geht das generell …

[NilsK 3.091]

Moin,

 

nein, so geht das nicht. Das Snap-in kennt keinen Nur-Lese-Modus.

 

Generell dürfen AD-Benutzer fast alles im AD lesen. Und sie dürfen auch ein paar Dinge ändern, darunter einige Attribute ihrer eigenen Benutzerkonten. Alles, was der User von den Berechtigungen her darf, kann er mit dsa.msc tun. (Er könnte das auch mit einem beliebigen anderen Werkzeug tun, denn er hat ja die Berechtigungen dazu.)

 

Wenn das zu deinem Use Case passt, kannst du den Usern Zugriff auf dsa.msc geben. Wenn nicht, dann definiere deine Anforderungen und wähle ein anderes Werkzeug dafür aus, falls es eines gibt.

 

Gruß, Nils

 

[daabm 1.462]

dsa.msc ist nur eines von vielen Werkzeugen. Grundsätzlich geht das alles mit allem, was LDAP sprechen kann, genauso. Die "Rechte" stecken nicht in dsa.msc, sondern in Active Directory.