Berechtigung im Active Directory für das Attribut mail verweigern
Hallo Community,
ich habe folgendes Problem, für das ich beim besten Willen keine Lösung finde:
Ich habe mir im AD eine Sicherheitsgruppe erstellt für User, die Benutzerinformationen ändern sollen - zukünftig. Hierbei sind bei Benutzer-Objekten u.A. die Attribute Beschreibung, Büro, Rufnummer, Adresse usw. gemeint.
Mein Problem ist folgendes: Welche Berechtigung muss ich an die Sicherheitsgruppe delegieren, damit die User in der Gruppe bspw. das Feld E-Mail oder Vor- und Nachname nicht bearbeiten können? Sobald ich den Berechtigungseintrag: "Öffentliche Informationen" - oder "Persönliche Informationen" - ich weiß gerade nicht mehr genau, welche es von den beiden war, setze, dann kann der User direkt alles ändern, eben auch E-Mail und Vor- und Nachname (das wäre im Bezug auf den Exchange sehr kontraproduktiv). Leider finde ich bei den Berechtigungseinträgen auch nicht die Möglichkeit nur das Attribut "mail" zu verweigern.
Weiß da jemand Abhilfe oder geht es nur so oder garnicht?
ich habe folgendes Problem, für das ich beim besten Willen keine Lösung finde:
Ich habe mir im AD eine Sicherheitsgruppe erstellt für User, die Benutzerinformationen ändern sollen - zukünftig. Hierbei sind bei Benutzer-Objekten u.A. die Attribute Beschreibung, Büro, Rufnummer, Adresse usw. gemeint.
Mein Problem ist folgendes: Welche Berechtigung muss ich an die Sicherheitsgruppe delegieren, damit die User in der Gruppe bspw. das Feld E-Mail oder Vor- und Nachname nicht bearbeiten können? Sobald ich den Berechtigungseintrag: "Öffentliche Informationen" - oder "Persönliche Informationen" - ich weiß gerade nicht mehr genau, welche es von den beiden war, setze, dann kann der User direkt alles ändern, eben auch E-Mail und Vor- und Nachname (das wäre im Bezug auf den Exchange sehr kontraproduktiv). Leider finde ich bei den Berechtigungseinträgen auch nicht die Möglichkeit nur das Attribut "mail" zu verweigern.
Weiß da jemand Abhilfe oder geht es nur so oder garnicht?
Kommentieren
Teilen
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 276266
Url: https://administrator.de/forum/berechtigung-im-active-directory-fuer-das-attribut-mail-verweigern-276266.html
Ausgedruckt am: 28.04.2025 um 10:04 Uhr
6 Kommentare
Neuester Kommentar
Moin,
ganz einfach: ADUC öffnen und im Menü Ansicht die erweiterten Features aktivieren , dann im entsprechend Container Kontextmenü >Sicherheit öffnen und in den ACLs das entsprechende einzelne Attribut "schreiben" verweigern.
Feddich.
Gruß jodel32
ganz einfach: ADUC öffnen und im Menü Ansicht die erweiterten Features aktivieren , dann im entsprechend Container Kontextmenü >Sicherheit öffnen und in den ACLs das entsprechende einzelne Attribut "schreiben" verweigern.
Feddich.
Gruß jodel32
Danke für deine Antwort.
Das ist mir durchaus bewusst, dass das so einfach geht. Nur leider habe ich nirgendwo den Eintrag 'mail' den ich blocken könnte.
Also zum Verständnis: Ich gehe auf einen Container der XYZ heißt -> Eigenschaften -> Sicherheit -> Erweitert -> Hinzufügen -> Sicherheitsgruppe auswaehlen -> Dann auf Eigenschaften -> Übernehmen für Benutzer-Objekt auswählen -> und dann fehlen mir einige Attribute, die ich einfach nicht einzeln verweigern kann. Oder bin ich falsch?
Das ist mir durchaus bewusst, dass das so einfach geht. Nur leider habe ich nirgendwo den Eintrag 'mail' den ich blocken könnte.
Also zum Verständnis: Ich gehe auf einen Container der XYZ heißt -> Eigenschaften -> Sicherheit -> Erweitert -> Hinzufügen -> Sicherheitsgruppe auswaehlen -> Dann auf Eigenschaften -> Übernehmen für Benutzer-Objekt auswählen -> und dann fehlen mir einige Attribute, die ich einfach nicht einzeln verweigern kann. Oder bin ich falsch?
Das Attribut heißt in dem Dialog anders ich schaue später mal wie es heißt. Das ist einer der Nachteile das dieser Dialog hat, das nicht die normalen LDAP Bezeichnungen benutzt werden ...
Danke! Gibt es denn eine Möglichkeit oder ein Tool mit dessen Hilfe ich die Berechtigungen mit den LDAP Bezeichnungen setzen kann?
Sicher, guckst du hier:
Frage: Wie werden einzelne AD-Attribute zur Bearbeitung über AD-Gruppe berechtigt
Frage: Wie werden einzelne AD-Attribute zur Bearbeitung über AD-Gruppe berechtigt
1
Perfekt. Ich danke dir vielmals. Gerade mal getestet und klappt wunderbar.
