Benutzer mit Lesezugriff für Active Directory via LDAP erstellen
Wie kann man einen Benutzer erstellen, der nur Lesezugriff auf das Active Directory hat? (Für LDAP Abfrage)
Hallo zusammen,
ich möchte in einer Software die Benutzerverwaltung über das Active Directory laufen lassen, auf welches via LDAP zugegriffen wird. Ein entsprechender Menüpunkt ist in der Software auch vorhanden. Ich habe die Einstellungen soweit vorgenommen und es funktioniert.
Das ganze läuft in einer 2003er Umgebung mit einem Domänencontroller
Nun zu meiner Frage:
Das Programm erfordert zwingend einen Benutzernamen und Kennwort mit Leserechten auf dem LDAP Server. Testweise habe ich einfach mal meine Login-Daten eingegeben und das funktioniert ja auch wie bereits erwähnt.
Wie kann ich also nun einen Benutzer einrichten, der NUR die Leseberechtigung auf das Active Directory hat. Dieser Benutzer soll sich nicht an der Domäne also über eine Workstation anmelden können und auch sonst KEINE Rechte haben.
Verständnisfrage:
Ist dieser Schritt überhaupt notwendig, oder kann ich das Programm einfach mit den Administrator Daten füttern? Würde ich eigentlich nicht so gerne machen, weil:
1. Ich nicht weiss, wie die Daten im Programm selbst verschlüsselt werden
2. Die LDAP-Übertragung ja nicht verschlüsselt ist - oder ist es mit wenig Aufwand möglich eine SSL-Verbindung mit Zertifikat für LDAP einzuführen?
3. Der Admin ja auch Schreibrechte etc. hat und ich keine Lust habe, dass mir das Programm durch evtl. Funktionsfehler o.ä. die ADS zerschiesst.
So, ich hoffe ich erschlage euch nicht mir dem Wust an Fragen und freue mich auf eure Antworten.
Vielen Dank
Mika
Hallo zusammen,
ich möchte in einer Software die Benutzerverwaltung über das Active Directory laufen lassen, auf welches via LDAP zugegriffen wird. Ein entsprechender Menüpunkt ist in der Software auch vorhanden. Ich habe die Einstellungen soweit vorgenommen und es funktioniert.
Das ganze läuft in einer 2003er Umgebung mit einem Domänencontroller
Nun zu meiner Frage:
Das Programm erfordert zwingend einen Benutzernamen und Kennwort mit Leserechten auf dem LDAP Server. Testweise habe ich einfach mal meine Login-Daten eingegeben und das funktioniert ja auch wie bereits erwähnt.
Wie kann ich also nun einen Benutzer einrichten, der NUR die Leseberechtigung auf das Active Directory hat. Dieser Benutzer soll sich nicht an der Domäne also über eine Workstation anmelden können und auch sonst KEINE Rechte haben.
Verständnisfrage:
Ist dieser Schritt überhaupt notwendig, oder kann ich das Programm einfach mit den Administrator Daten füttern? Würde ich eigentlich nicht so gerne machen, weil:
1. Ich nicht weiss, wie die Daten im Programm selbst verschlüsselt werden
2. Die LDAP-Übertragung ja nicht verschlüsselt ist - oder ist es mit wenig Aufwand möglich eine SSL-Verbindung mit Zertifikat für LDAP einzuführen?
3. Der Admin ja auch Schreibrechte etc. hat und ich keine Lust habe, dass mir das Programm durch evtl. Funktionsfehler o.ä. die ADS zerschiesst.
So, ich hoffe ich erschlage euch nicht mir dem Wust an Fragen und freue mich auf eure Antworten.
Vielen Dank
Mika
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 79586
Url: https://administrator.de/forum/benutzer-mit-lesezugriff-fuer-active-directory-via-ldap-erstellen-79586.html
Ausgedruckt am: 23.12.2024 um 09:12 Uhr
3 Kommentare
Neuester Kommentar
Hallo Mika,
Richte doch einfach eine Zertifkatsstelle ein, dazu noch einen Wiederherstellungsagenten, falls die Clienten ihr Zertifikat verlieren und weise jedem Benutzer für die Verbindung ein Zertifikat zu.
Und aktiviere zwischen dem Server und den Clienten in der GPO, (in der IP-Sicherheitsrichtlinie), dass der Server eine sichere Verbindung verlangt. (Secure Server: Require Security).
Dann ist die Verbindung auch mit LDAP verschlüsselt. Aber das geht nur mit WinXP.
Aber dazu muss sich ein Client an der Domäne anmelden. Wozu hast Du einen Server, wenn sich die User da nicht anmelden dürfen ?
LG.
Beccy
Richte doch einfach eine Zertifkatsstelle ein, dazu noch einen Wiederherstellungsagenten, falls die Clienten ihr Zertifikat verlieren und weise jedem Benutzer für die Verbindung ein Zertifikat zu.
Und aktiviere zwischen dem Server und den Clienten in der GPO, (in der IP-Sicherheitsrichtlinie), dass der Server eine sichere Verbindung verlangt. (Secure Server: Require Security).
Dann ist die Verbindung auch mit LDAP verschlüsselt. Aber das geht nur mit WinXP.
Aber dazu muss sich ein Client an der Domäne anmelden. Wozu hast Du einen Server, wenn sich die User da nicht anmelden dürfen ?
LG.
Beccy
Hallo,
Du meinst immer noch dieses Problem, wie in Deiner ursprünglichen Nachricht ?
Einfach: GARNICHT !!
Wenn Du einen Benutzer haben willst, der sich nicht über eine Workstation bei der Domäne anmelden dürfen soll, dann kann die Domäne auch den Benutzer nicht kennen und identifizieren.
Und was meinst Du eigentlich mit Leseberechtigungen auf das AD und sonst keine Berechtigungen ? Denn jeder User, der bei der Domäne als User eingetragen ist und den
Level eines Domänenbenutzers hat, hat natürlich das Recht alle für IHN freigegebenen Ordner zu sehen, zu öffnen usw. Andererseits kann man aber diesem User schnell die Rechte für alle Ordner nehmen, indem man ihm eben den Zugriff auf alle Ordner einzeln wieder weg nimmt.
Bitte,
Rebecca
Hallo!
Wie kann ich also nun einen Benutzer einrichten, der NUR die Leseberechtigung auf das Active >Directory hat. Dieser Benutzer soll sich nicht an der Domäne also über eine Workstation >anmelden können und auch sonst KEINE Rechte haben
Du meinst immer noch dieses Problem, wie in Deiner ursprünglichen Nachricht ?
Hat denn noch jemand nen Tip, wie ich
zusätzlich einen Benutzer erstellen
kann, der nur Leserechte auf das AD hat und
sonst keinerlei Berechtigungen?
zusätzlich einen Benutzer erstellen
kann, der nur Leserechte auf das AD hat und
sonst keinerlei Berechtigungen?
Einfach: GARNICHT !!
Wenn Du einen Benutzer haben willst, der sich nicht über eine Workstation bei der Domäne anmelden dürfen soll, dann kann die Domäne auch den Benutzer nicht kennen und identifizieren.
Und was meinst Du eigentlich mit Leseberechtigungen auf das AD und sonst keine Berechtigungen ? Denn jeder User, der bei der Domäne als User eingetragen ist und den
Level eines Domänenbenutzers hat, hat natürlich das Recht alle für IHN freigegebenen Ordner zu sehen, zu öffnen usw. Andererseits kann man aber diesem User schnell die Rechte für alle Ordner nehmen, indem man ihm eben den Zugriff auf alle Ordner einzeln wieder weg nimmt.
Bitte,
Vielen Dank
Mika
Mika
Rebecca