3
AD Benutzer Attribute Schützen (Attribut-Editor)
Guten Morgen zusammen,
wenn ich in die Eigenschaften eines AD-Benutzers gehe und dann dort unter "Attribut-Editor" -> "Filter" gibt es die Möglichkeit "Nur Attribute ohne Schreibschutz anzeigen" ... jetzt Frage ich mich, wie aktiviere ich den Schreibschutz für einzelne Attribute eigentlich?
Hoffe Ihr könnt mir da weiterhelfen
Vielen Dank schon mal!
Beste Grüße,
Max
wenn ich in die Eigenschaften eines AD-Benutzers gehe und dann dort unter "Attribut-Editor" -> "Filter" gibt es die Möglichkeit "Nur Attribute ohne Schreibschutz anzeigen" ... jetzt Frage ich mich, wie aktiviere ich den Schreibschutz für einzelne Attribute eigentlich?
Hoffe Ihr könnt mir da weiterhelfen
Vielen Dank schon mal!
Beste Grüße,
Max
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 12563733200
Url: https://administrator.de/contentid/12563733200
Printed on: June 19, 2024 at 19:06 o'clock
3 Comments
Latest comment
Wenn du Benutzern Schreibrechte auf Attribute entziehen oder vergeben willst machst du das im selben Dialog in der jeweiligen OU auf dem Tab Sicherheit und setzt dort entsprechende Verweigerungs ACLs auf die gewünschten Attribute.
Der Reiter erscheint aber nur wenn du in der MMC die "Erweiterten Features" im Menü aktiviert hast, was aber bereits der Fall ist wenn du den Tab Attribute siehst.
Wer was Schreiben oder Lesen darf regelst du als Admin rein über die ACLs der Objekte/Container.
Um bspw. einem Benutzer auf ein Objekt das Schreiben des Attributes "department" zu verweigern sähe das so aus
Oder einem User auf alle Benutzerobjekte einer OU das Schreiben auf das "department" Attribut zu verweigern.
usw.
Gruß
Der Reiter erscheint aber nur wenn du in der MMC die "Erweiterten Features" im Menü aktiviert hast, was aber bereits der Fall ist wenn du den Tab Attribute siehst.
Wer was Schreiben oder Lesen darf regelst du als Admin rein über die ACLs der Objekte/Container.
Um bspw. einem Benutzer auf ein Objekt das Schreiben des Attributes "department" zu verweigern sähe das so aus
Oder einem User auf alle Benutzerobjekte einer OU das Schreiben auf das "department" Attribut zu verweigern.
usw.
Gruß
Hallo hempel,
vielen Dank für deine Antwort und den Screenshots puh das wird ja dann ganz schön viel Arbeit, weil auf den Usern im AD gefühlt 30 privilegierte Accounts liegen.
Gibt es evtl. auch eine einfachere Möglichkeit zu sagen "Bitte ändere das Attribut: proxyAddresses nicht" ?
Wir hatten jetzt schon 2x den Fall gehabt, dass sich die Mail Adresse eines Users einfach ändert.
Beispiel:
Wenn wir ein neuen User anlegen erhält er immer zunächst die Mail-Adresse: personalnummer@domain.local
Über den Exchange sagen wir dann "Vorhandenen Benutzer hinzufügen" und wählen die Person aus. Danach erhält er auch seine richtige Mail-Adresse mit "vornamen.nachnamen@company.de"
Irgendwann hat das System aber seine Mail Adresse "verloren" und wieder die Standard "personalnummer@domain.local" Adresse erhalten.
Daher wollten wir einfach ein Schutz auf das Attribut "proxyAddresses" hinterlegen um zu verhindern, dass irgendein System dazwischen funkt.
vielen Dank für deine Antwort und den Screenshots
puh das wird ja dann ganz schön viel Arbeit, weil auf den Usern im AD gefühlt 30 privilegierte Accounts liegen.Gibt es evtl. auch eine einfachere Möglichkeit zu sagen "Bitte ändere das Attribut: proxyAddresses nicht" ?
Wir hatten jetzt schon 2x den Fall gehabt, dass sich die Mail Adresse eines Users einfach ändert.
Beispiel:
Wenn wir ein neuen User anlegen erhält er immer zunächst die Mail-Adresse: personalnummer@domain.local
Über den Exchange sagen wir dann "Vorhandenen Benutzer hinzufügen" und wählen die Person aus. Danach erhält er auch seine richtige Mail-Adresse mit "vornamen.nachnamen@company.de"
Irgendwann hat das System aber seine Mail Adresse "verloren" und wieder die Standard "personalnummer@domain.local" Adresse erhalten.
Daher wollten wir einfach ein Schutz auf das Attribut "proxyAddresses" hinterlegen um zu verhindern, dass irgendein System dazwischen funkt.
Wieso?? Richtiges Principal bei der ACE angeben feddisch wo ist da die Arbeit?? Die ACL wird ja an sämtliche User einer OU automatisch vererbt.
Gibt es evtl. auch eine einfachere Möglichkeit zu sagen "Bitte ändere das Attribut: proxyAddresses nicht" ?
Wer soll es nicht ändern? Der User selbst oder jemand anderes?Wenn wir ein neuen User anlegen erhält er immer zunächst die Mail-Adresse: personalnummer@domain.local
Welches Attribut? "Mail", "WindowsEmailAddress" ?Über den Exchange sagen wir dann "Vorhandenen Benutzer hinzufügen" und wählen die Person aus. Danach erhält er auch seine richtige Mail-Adresse mit "vornamen.nachnamen@company.de"
Irgendwann hat das System aber seine Mail Adresse "verloren" und wieder die Standard "personalnummer@domain.local" Adresse erhalten.
Daher wollten wir einfach ein Schutz auf das Attribut "proxyAddresses" hinterlegen um zu verhindern, dass irgendein System dazwischen funkt.
Dir sollte dann aber schon klar sein das man die Adresse dann mit sämtichen Tools nur noch ändern kann wenn man sie wieder freigibt, das kann kuriose Nebeneffekte produzieren wenn das Feld nicht schreibar ist, vor allem wenn sich primäre und sekundäre Adressen ändern wird das fehlschlagen. IMHO das falsche Vorgehen.Irgendwann hat das System aber seine Mail Adresse "verloren" und wieder die Standard "personalnummer@domain.local" Adresse erhalten.
Daher wollten wir einfach ein Schutz auf das Attribut "proxyAddresses" hinterlegen um zu verhindern, dass irgendein System dazwischen funkt.