Jump to content
Sign in to follow this  
Zearom

Berechtigungen innerhalb der ActiveDirectory Struktur

Recommended Posts

Hallo Community,

 

wir haben ein separates ActiveDirectory (W2003) aufgesetzt um diversen Applicationen ein System zur Authentifizierung zur Verfügung zu stellen. Dieses AD wird mit Hilfe des Microsoft Identity Integration Server mit Daten befüllt, eine manuelle Nachbereitung dieser verteilten Daten findet nicht statt. Allerdings befinden sich in dieses AD ein paar OUs die Systemuser enthalten und von Hand verwaltet werden (müssen). Die maschinell verteilten Daten befinden sich in eigenen OUs. Im Anhang 1 (adstructure.GIF) sieht man die Struktur des Testsystem. Die Länderspezifischen OUs (DE, AT etc) haben untergeordnete OUs (INT oder EXT) in die via MIIS Objekte abgelegt werden. In anderen OUs oder Container müssen Objekte von Hand verwaltet werden.

 

Der MIIS greift mittels eines eigenen AD-Users auf diese Struktur zu, da er atm Administrator in dem AD ist kann er schreiben woin er will, genauso kann er OUs verschieben,löschen umbenennen etc.

 

Meine aktuelle Aufgabe ist es einen Weg zu finden wie ich diese Berechtigungen möglichst genau beschränken kann. Dh. der User des MIIS darf nur in Bestimmten OUs Objekte verändern löschen oder neuanlegen. Genauso wenig sollte er eigene OUs anlegen dürfen, nur halt in bestimmten OUs sollte er es dürfen.

 

Mein Problem ist es momentan das ich absolut keine Ahnung habe wo ich diese Permissions setzen kann, ich habe zwar eine gewissen Basis im AD bereich (evtl bilde ich mir das auch nur ein ;) ), nur reicht das nicht um diese Problemchen zu lösen.

 

Ich wäre dankbar wenn mir jemand ein paar Links zu Informationen, Schlagworte oder andere Tipps liefern könnte. Trotz der Lektüre "Windows Server 2003" von Mark Minasi, hab ich nichtmal ansatzweise einen grünen Ast erreichen können.

 

Vielen Dank im Vorraus ;)

post-28629-13567389282304_thumb.gif

Share this post


Link to post
Share on other sites

mmh schade noch keine Antwort.

 

ist die Fragestellung evtl zu kurios gestellt? oder irgendwas anderes sinntechnisch nicht in Ordnung?

Evtl. stellt sich auch die Frage ob eine Begrenzung der Berechtigungen zum Ändern der AD-Struktur (und dessen Objekten) überhaupt möglich ist. Ich wäre für jede info dankbar =)

 

/edit typo

Share this post


Link to post
Share on other sites

Hi Morpheus,

 

ich habe zwar mit dem MIIS noch nichts zu tun gehabt, aber der spielt hier imho auch keine Rolle.

 

Du hast einen bestimmten Benutzer bzw. eine Gruppe, der du Berechtigungen auf bestimmte OU´s geben willst => Im AD nennt sich das "Delegation"

 

http://www.mcseboard.de/showthread.php?t=44420

 

Best Practices for Delegating Active Directory Administration

http://www.microsoft.com/downloads/details.aspx?FamilyID=631747a3-79e1-48fa-9730-dae7c0a1d6d3&DisplayLang=en

 

LG Gadget

Share this post


Link to post
Share on other sites
ich habe zwar mit dem MIIS noch nichts zu tun gehabt, aber der spielt hier imho auch keine Rolle.

yop, prinzipiel geht es ja nur um den Benutzer mit dem der MIIS darauf zugreift, ich wollte nur etwas das Thema anschneiden damit man da sganze im Zusammenhang sehen kann. Es hätte ja auch sein können das man auf eine mir unbekannte weise hätte besser lösen können. Lieber ein paar Infos zuviel als zu wenig.

 

Danke für die Infos

Share this post


Link to post
Share on other sites
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...