madmax93
Goto Top

AD Benutzer Attribute Schützen (Attribut-Editor)

Guten Morgen zusammen,

wenn ich in die Eigenschaften eines AD-Benutzers gehe und dann dort unter "Attribut-Editor" -> "Filter" gibt es die Möglichkeit "Nur Attribute ohne Schreibschutz anzeigen" ... jetzt Frage ich mich, wie aktiviere ich den Schreibschutz für einzelne Attribute eigentlich?

Hoffe Ihr könnt mir da weiterhelfen face-smile

Vielen Dank schon mal!

Beste Grüße,
Max

Content-Key: 12563733200

Url: https://administrator.de/contentid/12563733200

Printed on: June 23, 2024 at 08:06 o'clock

Member: hempel
Solution hempel Jun 10, 2024 updated at 08:42:32 (UTC)
Goto Top
Wenn du Benutzern Schreibrechte auf Attribute entziehen oder vergeben willst machst du das im selben Dialog in der jeweiligen OU auf dem Tab Sicherheit und setzt dort entsprechende Verweigerungs ACLs auf die gewünschten Attribute.
Der Reiter erscheint aber nur wenn du in der MMC die "Erweiterten Features" im Menü aktiviert hast, was aber bereits der Fall ist wenn du den Tab Attribute siehst.

Wer was Schreiben oder Lesen darf regelst du als Admin rein über die ACLs der Objekte/Container.

Um bspw. einem Benutzer auf ein Objekt das Schreiben des Attributes "department" zu verweigern sähe das so aus

screenshot

Oder einem User auf alle Benutzerobjekte einer OU das Schreiben auf das "department" Attribut zu verweigern.

screenshot

usw.

Gruß
Member: MadMax93
MadMax93 Jun 13, 2024 at 09:35:45 (UTC)
Goto Top
Hallo hempel,

vielen Dank für deine Antwort und den Screenshots face-smile puh das wird ja dann ganz schön viel Arbeit, weil auf den Usern im AD gefühlt 30 privilegierte Accounts liegen.

Gibt es evtl. auch eine einfachere Möglichkeit zu sagen "Bitte ändere das Attribut: proxyAddresses nicht" ?
Wir hatten jetzt schon 2x den Fall gehabt, dass sich die Mail Adresse eines Users einfach ändert.

Beispiel:

Wenn wir ein neuen User anlegen erhält er immer zunächst die Mail-Adresse: personalnummer@domain.local

Über den Exchange sagen wir dann "Vorhandenen Benutzer hinzufügen" und wählen die Person aus. Danach erhält er auch seine richtige Mail-Adresse mit "vornamen.nachnamen@company.de"

Irgendwann hat das System aber seine Mail Adresse "verloren" und wieder die Standard "personalnummer@domain.local" Adresse erhalten.

Daher wollten wir einfach ein Schutz auf das Attribut "proxyAddresses" hinterlegen um zu verhindern, dass irgendein System dazwischen funkt.
Member: hempel
hempel Jun 13, 2024 updated at 10:42:23 (UTC)
Goto Top
Zitat von @MadMax93:
puh das wird ja dann ganz schön viel Arbeit,
Wieso?? Richtiges Principal bei der ACE angeben feddisch wo ist da die Arbeit?? Die ACL wird ja an sämtliche User einer OU automatisch vererbt.

Gibt es evtl. auch eine einfachere Möglichkeit zu sagen "Bitte ändere das Attribut: proxyAddresses nicht" ?
Wer soll es nicht ändern? Der User selbst oder jemand anderes?

Wenn wir ein neuen User anlegen erhält er immer zunächst die Mail-Adresse: personalnummer@domain.local
Welches Attribut? "Mail", "WindowsEmailAddress" ?
Über den Exchange sagen wir dann "Vorhandenen Benutzer hinzufügen" und wählen die Person aus. Danach erhält er auch seine richtige Mail-Adresse mit "vornamen.nachnamen@company.de"

Irgendwann hat das System aber seine Mail Adresse "verloren" und wieder die Standard "personalnummer@domain.local" Adresse erhalten.

Daher wollten wir einfach ein Schutz auf das Attribut "proxyAddresses" hinterlegen um zu verhindern, dass irgendein System dazwischen funkt.
Dir sollte dann aber schon klar sein das man die Adresse dann mit sämtichen Tools nur noch ändern kann wenn man sie wieder freigibt, das kann kuriose Nebeneffekte produzieren wenn das Feld nicht schreibar ist, vor allem wenn sich primäre und sekundäre Adressen ändern wird das fehlschlagen. IMHO das falsche Vorgehen.