bioperiodik
Goto Top

Active Directory, Berechtigung für Feld Nachname

Guten Tag,

Ich bin gerade dabei die Verwaltungsrechte für unser Active Directory zu delegieren bzw mich mit diesem Thema zu beschäftigen.

Bisher finde ich mich auch gut zurrecht und hab schon die meisten Berechtigungen gesetzt.
Allerdings kann ich die Schreibberechtigung für ein paar Felder nicht finden. Ich hab auch schon google bemüht, allerdings ohne Erfolg.

Es handelt sich dabei um die Felder Nachname, Büro und E-Mail.

Ich finde einfach keine Berechtigung mit denen ich das Schreiben in diese Felder erlauben kann.

Hat von euch jemand einen Tipp bzw. weis wo ich das Berechtigen kann?

Vielen Dank im Vorraus
Seb

Content-ID: 128541

Url: https://administrator.de/forum/active-directory-berechtigung-fuer-feld-nachname-128541.html

Ausgedruckt am: 26.12.2024 um 08:12 Uhr

Yusuf-Dikmenoglu
Yusuf-Dikmenoglu 03.11.2009 um 16:56:32 Uhr
Goto Top
Salut,

die Attribute die hinter den Feldern stehen erfährst du von hier:

[LDAP:Yusufs.Directory.Blog/ - Die Active Directory-Attribute hinter den Feldnamen]
http://blog.dikmenoglu.de/Die+Active+DirectoryAttribute+Hinter+Den+Feld ...


Nun kannst du z.B. in der DACL (Discretionary Access Control List) oder idealer mit DSACLS
die Berechtigungen setzen. Der Befehl für das Feld "Büro" sieht z.B. so aus:

DSACLS "<DeineOU>" /G "<Dein/ Benutzer/Gruppe>:RPWP;physicaldeliveryofficename;user" /I:S


Du versuchst vermutlich über den Delegierungsassistenten dort in der GUI die Berechtigungen zu setzen.
Das funktioniert darüber standardmäßig nicht, denn der Assistent zeigt "out-of-the-Box" nicht alle Attribute dort an.
Sonst wäre das auch viel zu unübersichtlich.

Wenn du also möchtest, dass das Feld "Büro", also dass Attribut "physicaldeliveryofficename" im Assistenten erscheint,
musst du das in der Datei "dssec.dat" die du im Verzeichnis "%systemroot%\System32\" findest vorher zum Vorschein bringen.
Erst dann kannst du das Attribut im Assistenten auswählen. Das Feld Nachname (das Attribut "sn") im Übrigen genauso.

In der dssec.dat Datei musst du ganz unten, im Absatz "[USER]" den Wert hinter den einzelnen Attributen von "7" auf "0" ändern.

Die Delegierung mit DSACLS hat aber den Vorteil, dass man die delegierten Rechte einfach wieder entfernen kann.
Des Weiteren ist es für die Dokumentation hilfreich und nachvollziehbar.


Was das Thema "Objektveraltung" anbetrifft, schau dich auch auf diesen Seiten um:

[LDAP:
Yusufs.Directory.Blog/ - Active Directory|Objektverwaltung]
http://blog.dikmenoglu.de/CategoryView,category,Active%2BDirectory%2cOb ...


Viele Grüße
Yusuf Dikmenoglu
bioperiodik
bioperiodik 03.11.2009 um 19:56:17 Uhr
Goto Top
Ah wunderbar, das klingt ja sehr vielversprechend! Werd ich morgen gleich mal ausprobieren.

Die Seite hab ich auch schon gefunden, gibt sehr viele gute Tipps und Hinweise zu diesem Thema, allerdings hab ich für dieses Problem keine Lösung gefunden.
Sieht so aus als obs deine Seite wär? Dickes Lob, die Seite hat mich schon sehr viel weiter gebracht!

Naja...also das es wegen der besseren Übersichtlichkeit weggelassen wurde glaub ich ja weniger...ich meine da gibts unwichtigere Dinge als den Nachnamen oder das Büro...sonst ist da ja auch jeder Käse drin ;)

Aber danke für den Hinweis, ich werd beide Möglichkeiten mal testen!
Hab jetzt schon ewig gesucht aber nix dergleichen gefunden...aber sowas hab ich mir irgendwie schon gedacht, also das ein paar Elemente wahrlos weggelassen wurden ;)

Vielen Dank und noch einen schönen Abend
Yusuf-Dikmenoglu
Yusuf-Dikmenoglu 03.11.2009 um 21:05:25 Uhr
Goto Top
Ja, dass ist meine Seite. face-smile

Das Design, was im Delegierungsasssistenten dargestellt wird und was nicht, wurde aus (US) Sicht so festgelegt.
Für die Mausschubser-Brigarde hat Redmond dann noch die Option eingebaut (dssec.dat), die restlichen Attribute im Assistenten sichtbar zu machen.

Derjenige der sich mit der Materie auskennt, benötigt den Assistenten erst garnicht und stolpert auch nicht über das fehlen der Attribute.
Denn der Profi verwendet eher DSACLS in Verbindung eines Skripts oder über die DACL. Die Attribute auf die man die Rechte erteilen möchte,
findet der Kenner ebenfalls schnell heraus.

Komfortabler ist es eben die Delegierung mit dem Kommandozeilentool DSACLS durchzuführen. Die Delegierung lässt sich dann auch relativ fix wieder entfernen.


Gruß, Yusuf dikmenoglu
bioperiodik
bioperiodik 03.11.2009 um 21:15:08 Uhr
Goto Top
Das stimmt wohl, bin aber noch kein Kenner ;)

Sind meine ersten Gehversuche auf diesem Gebiet und da bietet sich der Assistens ja an.

Allerdings werd ich mir jetzt auch mal das Kommandozeilentool näher anschauen, klingt ja sehr interessant.
Die Sache mit dem Assistenten ist ja teilweise schon etwas umständlich und Klickintensiv!

Ich werd auf deine Seite zurückgreifen, und bei Problemen einfach dich nerven :D

Gruß
Sebastian