Benutzern das Browsen im Active Directory verbieten
Guten Morgen,
ich möchte unser AD gerne in verschiedene Ebenen unterteilen.
Ziel ist es, dass in bestimmten OU, die Administratoren eines Kunden auch selbst Benutzer anlegen und mit Gruppen verknüpfen dürfen.
Damit der Kunde nur die OUs sieht für die er auch berechtigt ist, habe ich eine entsprechende Gruppe gebaut und hier auf die OUs, welche er nicht sehen soll eine entsprechende Berechtigung gesetzt.
Mein Problem aktuell ist allerdings noch, wenn der Kunde z.B. in einer Gruppe neu Mitglieder hinzufügen will und er nach einem Namen sucht, den es auch in OUs gibt, welche er nicht einsehen kann, dann kann er diesen Benutzer auch der Gruppe zuweisen.
Ich würde gerne erreichen können, wenn der Kunde einen User sucht um diesen zu berechtigen, dass er dann beim Suchen auch nur die Benutzer aus der OU finden kann für die er auch berechtigt ist.
Das geht son bisschen in Richtung Mandantenfähigkeit.
Hat da jemand eine Idee von Euch wie ich das AD Konfigurieren muss, damit ich mein Ziel mit dem Browsen erreichen kann?
Herzlichen Dank
ich möchte unser AD gerne in verschiedene Ebenen unterteilen.
Ziel ist es, dass in bestimmten OU, die Administratoren eines Kunden auch selbst Benutzer anlegen und mit Gruppen verknüpfen dürfen.
Damit der Kunde nur die OUs sieht für die er auch berechtigt ist, habe ich eine entsprechende Gruppe gebaut und hier auf die OUs, welche er nicht sehen soll eine entsprechende Berechtigung gesetzt.
Mein Problem aktuell ist allerdings noch, wenn der Kunde z.B. in einer Gruppe neu Mitglieder hinzufügen will und er nach einem Namen sucht, den es auch in OUs gibt, welche er nicht einsehen kann, dann kann er diesen Benutzer auch der Gruppe zuweisen.
Ich würde gerne erreichen können, wenn der Kunde einen User sucht um diesen zu berechtigen, dass er dann beim Suchen auch nur die Benutzer aus der OU finden kann für die er auch berechtigt ist.
Das geht son bisschen in Richtung Mandantenfähigkeit.
Hat da jemand eine Idee von Euch wie ich das AD Konfigurieren muss, damit ich mein Ziel mit dem Browsen erreichen kann?
Herzlichen Dank
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 568083
Url: https://administrator.de/forum/benutzern-das-browsen-im-active-directory-verbieten-568083.html
Ausgedruckt am: 24.12.2024 um 12:12 Uhr
17 Kommentare
Neuester Kommentar
Ich habe das soeben extra nochmal für Dich durchgespielt: Bei mir funktioniert das so.
Irgendwas musst Du also falsch machen.
- User sieht diese OU gar nicht erst
- Beim Bearbeiten der Gruppe --> Mitglieder --> Hinzufügen werden keine Benutzer aus der gesperrten OU-Struktur angezeigt/gefunden
- beim allgemeinen Suchen im AD werden keine Benutzer aus der gesperrten OU-Struktur gefunden
Irgendwas musst Du also falsch machen.
N'Abend.
Nennt sich Active Directory List Object Mode:
https://social.technet.microsoft.com/wiki/contents/articles/29558.active ...
Ich rate zur Vorsicht bei der Umsetzung, das ist nichts, was man mit zwei Mausklicks in der Kaffeepause umsetzen könnte.
Cheers,
jsysde
Nennt sich Active Directory List Object Mode:
https://social.technet.microsoft.com/wiki/contents/articles/29558.active ...
Ich rate zur Vorsicht bei der Umsetzung, das ist nichts, was man mit zwei Mausklicks in der Kaffeepause umsetzen könnte.
Cheers,
jsysde
Vergleiche mit einem Out of the Box System.
Eine These von mir:
So wie wir formulieren, so denken und - vor allem - verstehen wir auch das, was wir da ausdrücken wollen, bzw. auszudrücken versuchen.
Mit anderen Worten: Wenn man nicht in der Lage ist, etwas was klar und korrekt zu artikulieren, dann hat man es auch nicht verstanden.
Wenn ich Deinen Text korrekt "übersetzt" habe:
Du machst etwas falsch. Du gehst von falschen Annahmen aus. Mit beidem täuschst Du Dich dann selbst.
Entweder ist die ACL-Vererbung aktiv oder nicht. Entweder werden ACE vererbt oder nicht. Da braucht man nicht denken, sondern einfach nur nachschauen, was effektiv ist. Wenn Du also die ACL einer OU bearbeitet hast, mit dem Ziel, dass eine bestimmte ACE an bestimmte Objekte vererbt werden soll, dann kannst Du doch ganz einfach ein einem solchen Objekt exemplarisch überprüfen, ob die ACL dieses Objekts die betreffende ACE aus der ACL der übergeordneten OU tatsächlich so geerbt hat, wie Du es annimmst, dass es so sein müsste.
So wie wir formulieren, so denken und - vor allem - verstehen wir auch das, was wir da ausdrücken wollen, bzw. auszudrücken versuchen.
Mit anderen Worten: Wenn man nicht in der Lage ist, etwas was klar und korrekt zu artikulieren, dann hat man es auch nicht verstanden.
... dann hätte ich jetzt ja auf die OU Kunde 2 meine Gruppe gesetzt, hätte die auf alles verweigern und auf vererben auf die unteren Objekte gesetzt und dann wäre das gut gewesen.
Auf eine OU eine Gruppe setzen .... Ja, klar. Wer so denkt, kommt nicht weit. Sorry.Wenn ich Deinen Text korrekt "übersetzt" habe:
Du machst etwas falsch. Du gehst von falschen Annahmen aus. Mit beidem täuschst Du Dich dann selbst.
Entweder ist die ACL-Vererbung aktiv oder nicht. Entweder werden ACE vererbt oder nicht. Da braucht man nicht denken, sondern einfach nur nachschauen, was effektiv ist. Wenn Du also die ACL einer OU bearbeitet hast, mit dem Ziel, dass eine bestimmte ACE an bestimmte Objekte vererbt werden soll, dann kannst Du doch ganz einfach ein einem solchen Objekt exemplarisch überprüfen, ob die ACL dieses Objekts die betreffende ACE aus der ACL der übergeordneten OU tatsächlich so geerbt hat, wie Du es annimmst, dass es so sein müsste.