none
Berechtigungen auf einzelne Attribute im AD setzen RRS feed

  • Frage

  • Hallo zusammen,

    wir setzen eine Software ein die in die Attribute "primaryTelexNumber" und "telexNumber" ihre Werte Schreiben muss. Ich könnte natürlich als Serviceaccount einen Administrator angeben, das würde ich aber am liebsten vermeiden. Kann man die beiden Attribute in einem 2016 AD auf Server 2019 Core so anpassen das ich einem "normalen" Benutzer ohne weitere Rechte das ändern der beiden Attribute geben kann? Ich habe zwar eine Anleitung gefunden, aber die ist 10 Jahre alt und funktioniert bei uns leider nicht.

    Vielen Dank für Eure Hilfe im Voraus.
    Viele Grüße

    Tom

    Freitag, 5. Februar 2021 09:34

Antworten

  • Moin,

    ja, das geht. Auf der Maschine, wo Du ADUC starten würdest, öffnest Du die Datei C:\Windows\System32\dssec.dat mit dem Text-Editor Deiner Wahl, aber so, dass Du sie auch schreiben kannst. Dort suchst Du den Abschnitt [user] und setzt dort den Wert bei den beiden interessanten Attributen auf 0. Anschließend öffnest Du ADUC, klickst rechts auf die OU, wo Deine User wohnen (oder halt auf die Domäne), sagst "Delegate control..." bzw. "Objektverwaltung zuweisen..." und richtest für den gewünschten User oder die gewünschte Gruppe die Delegation zur eigenschaftsspezifischen Bearbeitung für den Objekttyp "User" bzw. "Benutzer". Dort findest Du die gewünschten Attribute, allerdings mit Anzeigenamen und nicht mit "echten" Attributnamen.


    Evgenij Smirnov

    http://evgenij.smirnov.de


    Freitag, 5. Februar 2021 10:10

Alle Antworten

  • Moin,

    ja, das geht. Auf der Maschine, wo Du ADUC starten würdest, öffnest Du die Datei C:\Windows\System32\dssec.dat mit dem Text-Editor Deiner Wahl, aber so, dass Du sie auch schreiben kannst. Dort suchst Du den Abschnitt [user] und setzt dort den Wert bei den beiden interessanten Attributen auf 0. Anschließend öffnest Du ADUC, klickst rechts auf die OU, wo Deine User wohnen (oder halt auf die Domäne), sagst "Delegate control..." bzw. "Objektverwaltung zuweisen..." und richtest für den gewünschten User oder die gewünschte Gruppe die Delegation zur eigenschaftsspezifischen Bearbeitung für den Objekttyp "User" bzw. "Benutzer". Dort findest Du die gewünschten Attribute, allerdings mit Anzeigenamen und nicht mit "echten" Attributnamen.


    Evgenij Smirnov

    http://evgenij.smirnov.de


    Freitag, 5. Februar 2021 10:10
  • Hallo Evgenij,

    vielen Dank für Deine schnelle und wie immer kompetente Hilfe.

    Viele Grüße

    Tom

    Montag, 8. Februar 2021 08:55