5
Active Directory um eigenes Attribut erweitern
Hallo,
für die Implementation einer neuen Software benötige ich in unserem Active Directory (Server 2008 R2 EN) ein neues Attribut für alle User.
Dieses Attribut muss einen 5000 Byte großen String speichern können.
Die grundsätzlichen Schritte um das Schema anzupassen sind mir klar.
Hier ist eine Erklärung: YouTube Video
Nicht so ganz klar ist mir jedoch, welche Daten ich in den Dialog “Create new Attribute” (siehe YouTube Video (0:57)) eintragen muss.
1. Wie definiere ich dort die Größe von 5000 Byte?
Sind das die Felder “Minimum” und “Maximum”? (Ich würde da so instinktiv für Minimum 1 und für Maximum 5000 eintragen)
2. Beim Erzeugen des neuen Attributs muss ich eine GUID eintragen.
Die Anleitung von Microsoft verweist hierfür auf ein Script, welches die MAC-Adresse der Netzwerkkarte durch den Fleischwolf dreht und dann eine GUID ausspuckt.
Macht jetzt keinen besonders vertrauenserweckenden Eindruck...
Kann ich davon ausgehen, dass diese GUID dann auch einzigartig ist?
Ich will vermeiden, dass zukünftige Änderungen am AD auf die Nase fallen, weil sie die gleiche GUID verwenden möchten.
3. Gibt es sonst irgend etwas, was man bei derartigen Anpassungen am AD beachten muss?
Danke.
Grüße,
Daniel
für die Implementation einer neuen Software benötige ich in unserem Active Directory (Server 2008 R2 EN) ein neues Attribut für alle User.
Dieses Attribut muss einen 5000 Byte großen String speichern können.
Die grundsätzlichen Schritte um das Schema anzupassen sind mir klar.
Hier ist eine Erklärung: YouTube Video
Nicht so ganz klar ist mir jedoch, welche Daten ich in den Dialog “Create new Attribute” (siehe YouTube Video (0:57)) eintragen muss.
1. Wie definiere ich dort die Größe von 5000 Byte?
Sind das die Felder “Minimum” und “Maximum”? (Ich würde da so instinktiv für Minimum 1 und für Maximum 5000 eintragen)
2. Beim Erzeugen des neuen Attributs muss ich eine GUID eintragen.
Die Anleitung von Microsoft verweist hierfür auf ein Script, welches die MAC-Adresse der Netzwerkkarte durch den Fleischwolf dreht und dann eine GUID ausspuckt.
Macht jetzt keinen besonders vertrauenserweckenden Eindruck...
Kann ich davon ausgehen, dass diese GUID dann auch einzigartig ist?
Ich will vermeiden, dass zukünftige Änderungen am AD auf die Nase fallen, weil sie die gleiche GUID verwenden möchten.
3. Gibt es sonst irgend etwas, was man bei derartigen Anpassungen am AD beachten muss?
Danke.
Grüße,
Daniel
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 225808
Url: https://administrator.de/contentid/225808
Ausgedruckt am: 22.11.2024 um 07:11 Uhr
5 Kommentare
Neuester Kommentar
Für die GUID solltest du dir bei der IANA eine Private Enterprise Number holen. Die geben dir den vorderen Teil einer OID, alles dahinter kannst du frei vergeben. Diese Nummer kostet dich nichts, du musst nur evtl. zwei drei Tage warten.
Zu 3: Sobald du einmal etwas zum Schema hinzugefügt hast, kannst du es nicht mehr löschen.
Zu 1: Ich hab leider keine genauen Aussagen gefunden, aber ein Beitrag in einem der Microsoftforen sagt aus, dass maximal 1000 Zeichen in einem Unicode String hinterlegt werden können. Unicode kann pro Zeichen 4 Byte speichern, also würde das mit den 5000 Byte nicht klappen. Aber ich hab nur diese eine Aussage gefunden und keine Bestätigung von Microsoft direkt gefunden.
Zu 3: Sobald du einmal etwas zum Schema hinzugefügt hast, kannst du es nicht mehr löschen.
Zu 1: Ich hab leider keine genauen Aussagen gefunden, aber ein Beitrag in einem der Microsoftforen sagt aus, dass maximal 1000 Zeichen in einem Unicode String hinterlegt werden können. Unicode kann pro Zeichen 4 Byte speichern, also würde das mit den 5000 Byte nicht klappen. Aber ich hab nur diese eine Aussage gefunden und keine Bestätigung von Microsoft direkt gefunden.
Hallo,
Sicher das da eine GUID reinkommt? Oder nicht doch eher eine OID wie du schon im Link deiner MS Anleitung nachlesen und dir selbst eine Erzeugen kannst? Unter http://msdn.microsoft.com/en-us/library/windows/desktop/ms675087(v=vs.8 ... und Object Identifier kannst du genaueres nachlesen, was eine OID darstellt und warum viele davon eine 1.2.840.113566... sind Eine GUID ist etwas anderes und sehen meistens anders aus. http://en.wikipedia.org/wiki/Globally_unique_identifier GUIDs sollen einmalig sein, nicht zufällig. http://blogs.msdn.com/b/oldnewthing/archive/2012/05/23/10309199.aspx oder auch http://middleware.internet2.edu/a-brief-guide-to-OIDs.doc und hier GUIDs für jeden Zweck: http://www.aboutvb.de/khw/artikel/khwcreateguid.htm oder auch http://msdn.microsoft.com/en-us/library/ms677621(v=vs.85).aspx
Gruß,
Peter
Sicher das da eine GUID reinkommt? Oder nicht doch eher eine OID wie du schon im Link deiner MS Anleitung nachlesen und dir selbst eine Erzeugen kannst? Unter http://msdn.microsoft.com/en-us/library/windows/desktop/ms675087(v=vs.8 ... und Object Identifier kannst du genaueres nachlesen, was eine OID darstellt und warum viele davon eine 1.2.840.113566... sind Eine GUID ist etwas anderes und sehen meistens anders aus. http://en.wikipedia.org/wiki/Globally_unique_identifier GUIDs sollen einmalig sein, nicht zufällig. http://blogs.msdn.com/b/oldnewthing/archive/2012/05/23/10309199.aspx oder auch http://middleware.internet2.edu/a-brief-guide-to-OIDs.doc und hier GUIDs für jeden Zweck: http://www.aboutvb.de/khw/artikel/khwcreateguid.htm oder auch http://msdn.microsoft.com/en-us/library/ms677621(v=vs.85).aspx
Die Anleitung von Microsoft verweist auf ein ... und dann eine GUID ausspuckt.
Nein, es wird eine OID generiert unter zuhilfenahme einer GUID.Kann ich davon ausgehen, dass diese GUID dann auch einzigartig ist?
Wenn es sich um eine GUID handelt, nein, die sind eindeutig aber nicht eizigartig.Ich will vermeiden, dass zukünftige Änderungen am AD auf die Nase fallen, weil sie die gleiche GUID verwenden möchten.
Dann solltest du das besser mit MS abklären das die deine OID oder GUID nicht verwenden (in Zukunft)3. Gibt es sonst irgend etwas, was man bei derartigen Anpassungen am AD beachten muss?
Sicher das du an deinem AD dir das antun musst?Gruß,
Peter
Hallo,
Aber lässt es sich nachträglich anpassen (Typ, Größe, etc) ?
Ich hab da wohl ein paar Bezeichnungen verdreht.
Mit der Navigation dieser Webseite komme ich irgendwie nicht klar.
So weit ich bisher gelesen und verstanden habe, ist eine OID eine Nummer, welche vorne aus einer GUID und hinten aus einer eindeutigen ID besteht.
Auf der Microsoft Seite steht:
Im Script steht dann:
Das heißt doch, dass der Block 1.2.840.113556.1.8000.2554 von MS eben genau für generierte OIDs reserviert wurde, oder?
Grüße,
Daniel
Zu 3: Sobald du einmal etwas zum Schema hinzugefügt hast, kannst du es nicht mehr löschen.
Ja, klar. Wie bei einem LDAP halt auch.Aber lässt es sich nachträglich anpassen (Typ, Größe, etc) ?
Zu 1: Ich hab leider keine genauen Aussagen gefunden, aber ein Beitrag in einem der Microsoftforen sagt aus, dass maximal 1000
Zeichen in einem Unicode String hinterlegt werden können. Unicode kann pro Zeichen 4 Byte speichern, also würde das mit
den 5000 Byte nicht klappen. Aber ich hab nur diese eine Aussage gefunden und keine Bestätigung von Microsoft direkt
gefunden.
Also ich habe diverse Attribute (für Zertifikate), welche groß genug sind, damit ein 4096 Byte PKI Zertifikat Platz hat.Zeichen in einem Unicode String hinterlegt werden können. Unicode kann pro Zeichen 4 Byte speichern, also würde das mit
den 5000 Byte nicht klappen. Aber ich hab nur diese eine Aussage gefunden und keine Bestätigung von Microsoft direkt
gefunden.
Nein, es wird eine OID generiert unter zuhilfenahme einer GUID.
Korrekt.Ich hab da wohl ein paar Bezeichnungen verdreht.
> 3. Gibt es sonst irgend etwas, was man bei derartigen Anpassungen am AD beachten muss?
Sicher das du an deinem AD dir das antun musst?
Also ich sehe dieses Szenario jetzt nicht als "speziell" an. Für so etwas hat man schließlich einen Verzeichnisdienst.Sicher das du an deinem AD dir das antun musst?
Für die GUID solltest du dir bei der IANA eine Private Enterprise Number holen. Die geben dir den vorderen Teil einer OID,
alles dahinter kannst du frei vergeben. Diese Nummer kostet dich nichts, du musst nur evtl. zwei drei Tage warten.
Welche Nummer muss man dort genau anfragen?alles dahinter kannst du frei vergeben. Diese Nummer kostet dich nichts, du musst nur evtl. zwei drei Tage warten.
Mit der Navigation dieser Webseite komme ich irgendwie nicht klar.
> Ich will vermeiden, dass zukünftige Änderungen am AD auf die Nase fallen, weil sie die gleiche GUID verwenden
möchten.
Dann solltest du das besser mit MS abklären das die deine OID oder GUID nicht verwenden (in Zukunft)
möchten.
Dann solltest du das besser mit MS abklären das die deine OID oder GUID nicht verwenden (in Zukunft)
So weit ich bisher gelesen und verstanden habe, ist eine OID eine Nummer, welche vorne aus einer GUID und hinten aus einer eindeutigen ID besteht.
Auf der Microsoft Seite steht:
To extend the Active Directory schema successfully you can obtain a root OID from a script available at http://go.microsoft.com/fwlink/p/?linkid=100725
The OIDs generated from the script are unique; they are mapped from a unique GUID. Please read the best practices carefully as poorly handled OIDs can result in data loss.
The OIDs generated from the script are unique; they are mapped from a unique GUID. Please read the best practices carefully as poorly handled OIDs can result in data loss.
Im Script steht dann:
'The Microsoft OID Prefix used for the automated OID Generator
oidPrefix = "1.2.840.113556.1.8000.2554"
oidPrefix = "1.2.840.113556.1.8000.2554"
Das heißt doch, dass der Block 1.2.840.113556.1.8000.2554 von MS eben genau für generierte OIDs reserviert wurde, oder?
Grüße,
Daniel
In gewissen Bereichen kann man angelegte Attribute ändern, ich weiß aber nicht, in welchem Rahmen.
Hier kannst du eine Private Enterprise Number anfordern http://pen.iana.org/pen/PenApplication.page
Hab ich schon mehrfach für verschiedene Unternehmen angefordert und im AD hinterlegt.
Hier kannst du eine Private Enterprise Number anfordern http://pen.iana.org/pen/PenApplication.page
Hab ich schon mehrfach für verschiedene Unternehmen angefordert und im AD hinterlegt.
Hallo,
Dann werde ich das mal ausfüllen.
Danke dir.
Grüße,
Daniel
Hier kannst du eine Private Enterprise Number anfordern http://pen.iana.org/pen/PenApplication.page
Hab ich schon mehrfach für verschiedene Unternehmen angefordert und im AD hinterlegt.
Hab ich schon mehrfach für verschiedene Unternehmen angefordert und im AD hinterlegt.
Dann werde ich das mal ausfüllen.
Danke dir.
Grüße,
Daniel
