madmax93
Goto Top

AD Benutzer Attribute Schützen (Attribut-Editor)

Guten Morgen zusammen,

wenn ich in die Eigenschaften eines AD-Benutzers gehe und dann dort unter "Attribut-Editor" -> "Filter" gibt es die Möglichkeit "Nur Attribute ohne Schreibschutz anzeigen" ... jetzt Frage ich mich, wie aktiviere ich den Schreibschutz für einzelne Attribute eigentlich?

Hoffe Ihr könnt mir da weiterhelfen face-smile

Vielen Dank schon mal!

Beste Grüße,
Max

Content-ID: 12563733200

Url: https://administrator.de/contentid/12563733200

Ausgedruckt am: 19.12.2024 um 02:12 Uhr

13034433319
Lösung 13034433319 10.06.2024 aktualisiert um 10:42:32 Uhr
Goto Top
Wenn du Benutzern Schreibrechte auf Attribute entziehen oder vergeben willst machst du das im selben Dialog in der jeweiligen OU auf dem Tab Sicherheit und setzt dort entsprechende Verweigerungs ACLs auf die gewünschten Attribute.
Der Reiter erscheint aber nur wenn du in der MMC die "Erweiterten Features" im Menü aktiviert hast, was aber bereits der Fall ist wenn du den Tab Attribute siehst.

Wer was Schreiben oder Lesen darf regelst du als Admin rein über die ACLs der Objekte/Container.

Um bspw. einem Benutzer auf ein Objekt das Schreiben des Attributes "department" zu verweigern sähe das so aus

screenshot

Oder einem User auf alle Benutzerobjekte einer OU das Schreiben auf das "department" Attribut zu verweigern.

screenshot

usw.

Gruß
MadMax93
MadMax93 13.06.2024 um 11:35:45 Uhr
Goto Top
Hallo hempel,

vielen Dank für deine Antwort und den Screenshots face-smile puh das wird ja dann ganz schön viel Arbeit, weil auf den Usern im AD gefühlt 30 privilegierte Accounts liegen.

Gibt es evtl. auch eine einfachere Möglichkeit zu sagen "Bitte ändere das Attribut: proxyAddresses nicht" ?
Wir hatten jetzt schon 2x den Fall gehabt, dass sich die Mail Adresse eines Users einfach ändert.

Beispiel:

Wenn wir ein neuen User anlegen erhält er immer zunächst die Mail-Adresse: personalnummer@domain.local

Über den Exchange sagen wir dann "Vorhandenen Benutzer hinzufügen" und wählen die Person aus. Danach erhält er auch seine richtige Mail-Adresse mit "vornamen.nachnamen@company.de"

Irgendwann hat das System aber seine Mail Adresse "verloren" und wieder die Standard "personalnummer@domain.local" Adresse erhalten.

Daher wollten wir einfach ein Schutz auf das Attribut "proxyAddresses" hinterlegen um zu verhindern, dass irgendein System dazwischen funkt.
13034433319
13034433319 13.06.2024 aktualisiert um 12:42:23 Uhr
Goto Top
Zitat von @MadMax93:
puh das wird ja dann ganz schön viel Arbeit,
Wieso?? Richtiges Principal bei der ACE angeben feddisch wo ist da die Arbeit?? Die ACL wird ja an sämtliche User einer OU automatisch vererbt.

Gibt es evtl. auch eine einfachere Möglichkeit zu sagen "Bitte ändere das Attribut: proxyAddresses nicht" ?
Wer soll es nicht ändern? Der User selbst oder jemand anderes?

Wenn wir ein neuen User anlegen erhält er immer zunächst die Mail-Adresse: personalnummer@domain.local
Welches Attribut? "Mail", "WindowsEmailAddress" ?
Über den Exchange sagen wir dann "Vorhandenen Benutzer hinzufügen" und wählen die Person aus. Danach erhält er auch seine richtige Mail-Adresse mit "vornamen.nachnamen@company.de"

Irgendwann hat das System aber seine Mail Adresse "verloren" und wieder die Standard "personalnummer@domain.local" Adresse erhalten.

Daher wollten wir einfach ein Schutz auf das Attribut "proxyAddresses" hinterlegen um zu verhindern, dass irgendein System dazwischen funkt.
Dir sollte dann aber schon klar sein das man die Adresse dann mit sämtichen Tools nur noch ändern kann wenn man sie wieder freigibt, das kann kuriose Nebeneffekte produzieren wenn das Feld nicht schreibar ist, vor allem wenn sich primäre und sekundäre Adressen ändern wird das fehlschlagen. IMHO das falsche Vorgehen.