Remove From My Forums

LDAP User einschränken

Frage
0

Anmelden

Hallo,
wir haben in unserem AD einen Benutzer für LDAP Abfragen angelegt.
Dieser soll aber nur Berechtigungen für Abfragen einer best. OU haben.
Ist das möglich?
Weil der Benutzer ja Mitglied der Gruppe "Domänen Benutzer" ist..

Gruß und Danke
Dennis

Donnerstag, 11. Mai 2017 11:11

Antworten

|

Zitieren

Antworten

2

Anmelden
> Lesezugriff auf alle OU's, ausser diese die er auslesen darf, zu verweigern (denied).

Reicht nicht - direkt kann er dann immer noch auf alle enthaltenen Objekte zugreifen. Zusätzlich muß List Object Mode aktiviert werden. Das entspricht etwa dem "Bypass Traversal Checking deaktivieren" im Dateisystem.
- Als Antwort vorgeschlagen Mihaela ParedesMicrosoft contingent staff, Moderator Freitag, 19. Mai 2017 08:53
- Als Antwort markiert Mihaela ParedesMicrosoft contingent staff, Moderator Montag, 22. Mai 2017 14:52
Donnerstag, 11. Mai 2017 11:56

Antworten

|

Zitieren
1

Anmelden
> Weil der Benutzer ja Mitglied der Gruppe "Domänen Benutzer" ist..

Dann schmeiß ihn da doch raus und gib ihm was anderes als Primäre Gruppe... Wird aber auch nichts nützen, er ist immer noch S-1-5-11.

"Einfach" geht das nicht - Du mußt dein AD auf List Object Mode umstellen und die AuthUsers aus allen ACLs entfernen. Das bedeutet aber, daß Du für alles und jedes, das mit dem AD redet, die ACLs "nachmodellieren" mußt. Viel Spaß... :-)
- Als Antwort vorgeschlagen Mihaela ParedesMicrosoft contingent staff, Moderator Freitag, 19. Mai 2017 08:53
- Als Antwort markiert Mihaela ParedesMicrosoft contingent staff, Moderator Montag, 22. Mai 2017 14:52
Donnerstag, 11. Mai 2017 11:54

Antworten

|

Zitieren

Alle Antworten

1

Anmelden

Hallo Dennis

Da Active Directory generell ein offenes LDAP Verzeichnis für "lesenden" Zugriff ist, könne alle Domain User dieses auslesen. Meiner Meinung nach kannst Du das auch nicht "flächendeckend" verhindern da Du resp. einige User und Applikationen Probleme hätten... Was Du machen könntest ist diesen User den Lesezugriff auf alle OU's, ausser diese die er auslesen darf, zu verweigern (denied). Ist aber etwas mühsam.

Gruss

Donnerstag, 11. Mai 2017 11:48

Antworten

|

Zitieren
1

Anmelden
> Weil der Benutzer ja Mitglied der Gruppe "Domänen Benutzer" ist..

Dann schmeiß ihn da doch raus und gib ihm was anderes als Primäre Gruppe... Wird aber auch nichts nützen, er ist immer noch S-1-5-11.

"Einfach" geht das nicht - Du mußt dein AD auf List Object Mode umstellen und die AuthUsers aus allen ACLs entfernen. Das bedeutet aber, daß Du für alles und jedes, das mit dem AD redet, die ACLs "nachmodellieren" mußt. Viel Spaß... :-)
- Als Antwort vorgeschlagen Mihaela ParedesMicrosoft contingent staff, Moderator Freitag, 19. Mai 2017 08:53
- Als Antwort markiert Mihaela ParedesMicrosoft contingent staff, Moderator Montag, 22. Mai 2017 14:52
Donnerstag, 11. Mai 2017 11:54

Antworten

|

Zitieren
2

Anmelden
> Lesezugriff auf alle OU's, ausser diese die er auslesen darf, zu verweigern (denied).

Reicht nicht - direkt kann er dann immer noch auf alle enthaltenen Objekte zugreifen. Zusätzlich muß List Object Mode aktiviert werden. Das entspricht etwa dem "Bypass Traversal Checking deaktivieren" im Dateisystem.
- Als Antwort vorgeschlagen Mihaela ParedesMicrosoft contingent staff, Moderator Freitag, 19. Mai 2017 08:53
- Als Antwort markiert Mihaela ParedesMicrosoft contingent staff, Moderator Montag, 22. Mai 2017 14:52
Donnerstag, 11. Mai 2017 11:56

Antworten

|

Zitieren

Produkte

Resources

Solutions

Updates

Testversionen

Verwandte Websites

Training

Zertifizierungen

Weitere Ressourcen

Für Produkte

Mehr Support

Kein IT-Experte?

Benutzer mit den meisten Antworten

LDAP User einschränken

Frage

Antworten

Alle Antworten