Active Directory, Berechtigung für Feld Nachname
Guten Tag,
Ich bin gerade dabei die Verwaltungsrechte für unser Active Directory zu delegieren bzw mich mit diesem Thema zu beschäftigen.
Bisher finde ich mich auch gut zurrecht und hab schon die meisten Berechtigungen gesetzt.
Allerdings kann ich die Schreibberechtigung für ein paar Felder nicht finden. Ich hab auch schon google bemüht, allerdings ohne Erfolg.
Es handelt sich dabei um die Felder Nachname, Büro und E-Mail.
Ich finde einfach keine Berechtigung mit denen ich das Schreiben in diese Felder erlauben kann.
Hat von euch jemand einen Tipp bzw. weis wo ich das Berechtigen kann?
Vielen Dank im Vorraus
Seb
Ich bin gerade dabei die Verwaltungsrechte für unser Active Directory zu delegieren bzw mich mit diesem Thema zu beschäftigen.
Bisher finde ich mich auch gut zurrecht und hab schon die meisten Berechtigungen gesetzt.
Allerdings kann ich die Schreibberechtigung für ein paar Felder nicht finden. Ich hab auch schon google bemüht, allerdings ohne Erfolg.
Es handelt sich dabei um die Felder Nachname, Büro und E-Mail.
Ich finde einfach keine Berechtigung mit denen ich das Schreiben in diese Felder erlauben kann.
Hat von euch jemand einen Tipp bzw. weis wo ich das Berechtigen kann?
Vielen Dank im Vorraus
Seb
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 128541
Url: https://administrator.de/forum/active-directory-berechtigung-fuer-feld-nachname-128541.html
Ausgedruckt am: 26.12.2024 um 08:12 Uhr
4 Kommentare
Neuester Kommentar
Salut,
die Attribute die hinter den Feldern stehen erfährst du von hier:
[LDAP:Yusufs.Directory.Blog/ - Die Active Directory-Attribute hinter den Feldnamen]
http://blog.dikmenoglu.de/Die+Active+DirectoryAttribute+Hinter+Den+Feld ...
Nun kannst du z.B. in der DACL (Discretionary Access Control List) oder idealer mit DSACLS
die Berechtigungen setzen. Der Befehl für das Feld "Büro" sieht z.B. so aus:
DSACLS "<DeineOU>" /G "<Dein/ Benutzer/Gruppe>:RPWP;physicaldeliveryofficename;user" /I:S
Du versuchst vermutlich über den Delegierungsassistenten dort in der GUI die Berechtigungen zu setzen.
Das funktioniert darüber standardmäßig nicht, denn der Assistent zeigt "out-of-the-Box" nicht alle Attribute dort an.
Sonst wäre das auch viel zu unübersichtlich.
Wenn du also möchtest, dass das Feld "Büro", also dass Attribut "physicaldeliveryofficename" im Assistenten erscheint,
musst du das in der Datei "dssec.dat" die du im Verzeichnis "%systemroot%\System32\" findest vorher zum Vorschein bringen.
Erst dann kannst du das Attribut im Assistenten auswählen. Das Feld Nachname (das Attribut "sn") im Übrigen genauso.
In der dssec.dat Datei musst du ganz unten, im Absatz "[USER]" den Wert hinter den einzelnen Attributen von "7" auf "0" ändern.
Die Delegierung mit DSACLS hat aber den Vorteil, dass man die delegierten Rechte einfach wieder entfernen kann.
Des Weiteren ist es für die Dokumentation hilfreich und nachvollziehbar.
Was das Thema "Objektveraltung" anbetrifft, schau dich auch auf diesen Seiten um:
[LDAP:Yusufs.Directory.Blog/ - Active Directory|Objektverwaltung]
http://blog.dikmenoglu.de/CategoryView,category,Active%2BDirectory%2cOb ...
Viele Grüße
Yusuf Dikmenoglu
die Attribute die hinter den Feldern stehen erfährst du von hier:
[LDAP:Yusufs.Directory.Blog/ - Die Active Directory-Attribute hinter den Feldnamen]
http://blog.dikmenoglu.de/Die+Active+DirectoryAttribute+Hinter+Den+Feld ...
Nun kannst du z.B. in der DACL (Discretionary Access Control List) oder idealer mit DSACLS
die Berechtigungen setzen. Der Befehl für das Feld "Büro" sieht z.B. so aus:
DSACLS "<DeineOU>" /G "<Dein/ Benutzer/Gruppe>:RPWP;physicaldeliveryofficename;user" /I:S
Du versuchst vermutlich über den Delegierungsassistenten dort in der GUI die Berechtigungen zu setzen.
Das funktioniert darüber standardmäßig nicht, denn der Assistent zeigt "out-of-the-Box" nicht alle Attribute dort an.
Sonst wäre das auch viel zu unübersichtlich.
Wenn du also möchtest, dass das Feld "Büro", also dass Attribut "physicaldeliveryofficename" im Assistenten erscheint,
musst du das in der Datei "dssec.dat" die du im Verzeichnis "%systemroot%\System32\" findest vorher zum Vorschein bringen.
Erst dann kannst du das Attribut im Assistenten auswählen. Das Feld Nachname (das Attribut "sn") im Übrigen genauso.
In der dssec.dat Datei musst du ganz unten, im Absatz "[USER]" den Wert hinter den einzelnen Attributen von "7" auf "0" ändern.
Die Delegierung mit DSACLS hat aber den Vorteil, dass man die delegierten Rechte einfach wieder entfernen kann.
Des Weiteren ist es für die Dokumentation hilfreich und nachvollziehbar.
Was das Thema "Objektveraltung" anbetrifft, schau dich auch auf diesen Seiten um:
[LDAP:Yusufs.Directory.Blog/ - Active Directory|Objektverwaltung]
http://blog.dikmenoglu.de/CategoryView,category,Active%2BDirectory%2cOb ...
Viele Grüße
Yusuf Dikmenoglu
Ja, dass ist meine Seite.
Das Design, was im Delegierungsasssistenten dargestellt wird und was nicht, wurde aus (US) Sicht so festgelegt.
Für die Mausschubser-Brigarde hat Redmond dann noch die Option eingebaut (dssec.dat), die restlichen Attribute im Assistenten sichtbar zu machen.
Derjenige der sich mit der Materie auskennt, benötigt den Assistenten erst garnicht und stolpert auch nicht über das fehlen der Attribute.
Denn der Profi verwendet eher DSACLS in Verbindung eines Skripts oder über die DACL. Die Attribute auf die man die Rechte erteilen möchte,
findet der Kenner ebenfalls schnell heraus.
Komfortabler ist es eben die Delegierung mit dem Kommandozeilentool DSACLS durchzuführen. Die Delegierung lässt sich dann auch relativ fix wieder entfernen.
Gruß, Yusuf dikmenoglu
Das Design, was im Delegierungsasssistenten dargestellt wird und was nicht, wurde aus (US) Sicht so festgelegt.
Für die Mausschubser-Brigarde hat Redmond dann noch die Option eingebaut (dssec.dat), die restlichen Attribute im Assistenten sichtbar zu machen.
Derjenige der sich mit der Materie auskennt, benötigt den Assistenten erst garnicht und stolpert auch nicht über das fehlen der Attribute.
Denn der Profi verwendet eher DSACLS in Verbindung eines Skripts oder über die DACL. Die Attribute auf die man die Rechte erteilen möchte,
findet der Kenner ebenfalls schnell heraus.
Komfortabler ist es eben die Delegierung mit dem Kommandozeilentool DSACLS durchzuführen. Die Delegierung lässt sich dann auch relativ fix wieder entfernen.
Gruß, Yusuf dikmenoglu