[adde] Re: AD-Schema anpassen

Hi zusammen,

 

ich möchte gern die Zuordnung ändern können, sodass der CN gleich dem Anmeldenamen entspricht und nicht wie in meinem Falle aus Nachname, Vorname generiert wird.

 

Gruß,

 

Dennis

 

 

Von: adde-ml@xxxxxxxxxxxxx [mailto:adde-ml@xxxxxxxxxxxxx] Im Auftrag von Nils Kaczenski
Gesendet: Donnerstag, 16. Dezember 2010 12:23
An: adde@xxxxxxxxxxxxx
Betreff: [adde] Re: AW: Re: AW: Re: AW: AW: Re: AD-Schema anpassen

 

Moin,

statt ausgehend von irgendwelchen Vermutungen interne Manipulationen im AD anzufragen, solltest du mal preisgeben, was du denn eigentlich erreichen willst.

Gruß, Nils


Am 16.12.2010 10:44, schrieb Dennis Gase:

Hi und guten Morgen zusammen,

 

@Nils

Ok verstanden. Danke für die schnelle Hilfe !

 

@all

Eine Frage habe ich noch anlehnend an dieses Thema. Der Wert „CN“ ist doch eine Zusammensetzung aus anderen Werten (IMHO). Kann man diese Zusammensetzung denn nicht anpassen? Also bspw. enthält unser „CN“ den Wert „Nachname, Vorname“. Da ich den „CN“ des Users aber nicht direkt bearbeiten darf, da er dem System gehört kann man denn dann nicht hergehen und die Zuordnung ändern, sodass er sich nur zu / aus „anmeldename“ zusammensetzt ?

 

Von: adde-ml@xxxxxxxxxxxxx [mailto:adde-ml@xxxxxxxxxxxxx] Im Auftrag von Nils Kaczenski
Gesendet: Donnerstag, 16. Dezember 2010 08:51
An: adde@xxxxxxxxxxxxx
Betreff: [adde] Re: AW: Re: AW: AW: Re: AD-Schema anpassen

 

Moin,

eine effiziente Möglichkeit, per LDAP die verschachtelten Gruppenmitgliedschaften effektiv abzufragen, gibt es nicht. Es gibt zwar ein Feld tokenGroups, aber das enthält (wenn es denn zugreifbar ist, was ich grad nicht weiß) nur die AD-Gruppen. Ein User kann aber auch noch in lokalen Gruppen des Servers Mitglied sein oder in Gruppen vertrauter Domänen.

In einer Windows-Session könnte man das Access Token auslesen, das die tatsächlichen Mitgliedschaften der Session auflistet. Für eine normale Session kann man whoami.exe dafür nehmen. Ob das in deinem Fall machbar ist, weiß ich nicht.

Gruß, Nils


Am 16.12.2010 00:45, schrieb Dennis Gase:

Hi zusammen,

 

Verständnis ist nun etwas größer dank der ersten Infos. Danke !

 

Ich habe jetzt nur noch eine Frage worauf die Erstellung des Filters basiert:

 

Wie kann ich per LDAP verschachtelte Gruppenmitgliedschaften abfragen OHNE ein Script dafür zu benutzen? (bzw. ist das überhaupt möglich?)

 

Ich würde mit dieser Abfrage gern wissen, ob der zur Zeit angemeldete Benutzer Mitglied einer Gruppe und deren Untergruppe(n) ist. Ich bekomme als Information aber nur den Anmeldenamen in der php Datei.

 

Kann ich eventuell einen anderen Weg gehen ?

 

Man ich bin zur Zeit echt versteift und einfallslos…. :/

 

Gruß,

 

Dennis

 

Von: adde-ml@xxxxxxxxxxxxx [mailto:adde-ml@xxxxxxxxxxxxx] Im Auftrag von Nils Kaczenski
Gesendet: Mittwoch, 15. Dezember 2010 22:27
An: adde@xxxxxxxxxxxxx
Betreff: [adde] Re: AW: AW: Re: AD-Schema anpassen

 

Äääähhh ... mir scheint, dir fehlen da ein paar LDAP-Grundlagen zum AD. Im "member"-Feld stehen nun mal DNs, keine sAMAccountNames. Da hat das Schema nix mit zu tun.

[faq-o-matic.net » Whitepaper: LDAP-Filter für Active Directory]
http://www.faq-o-matic.net/2009/09/24/whitepaper-ldap-filter-fr-active-directory/

Gruß, Nils


Am 15.12.2010 20:59, schrieb Dennis Gase:

Hi,

 

ich möchte gern u.a. diesen Filter nutzen können:

 

(member:1.2.840.113556.1.4.1941:=CN=Vorname Nachname,OU=Benutzer,OU=Funktion,DC=domäne,DC=de)

 

Wobei ich bei meinen Tests leider bisher nur mit dem Wert „CN“ erfolgreich war und mit bspw. „sAMAccountName“ erfolglos blieb.

 

Von: adde-ml@xxxxxxxxxxxxx [mailto:adde-ml@xxxxxxxxxxxxx] Im Auftrag von Walter Steinsdorfer
Gesendet: Mittwoch, 15. Dezember 2010 20:42
An: adde@xxxxxxxxxxxxx
Betreff: [adde] AW: Re: AD-Schema anpassen

 

Hi,

Warum möchtest du denn den cm anpassen? Mir entgeht gerade der praktische Nutzen...

Viele Gruesse

Walter  Steinsdorfer
Mvp Exchange Server
send via WP 7

---

Von: Norbert Fehlauer
Gesendet: Mittwoch, 15. Dezember 2010 20:27
An: adde@xxxxxxxxxxxxx
Betreff: [adde] Re: AD-Schema anpassen

Hi,

 

Wie genau willst du das denn ändern? Über welche Version sprechen wir hier?

http://support.microsoft.com/kb/277717 sollte eigentlich den Weg zeigen. Falls nicht, müßtest du etwas konkreter in deinen Ausführungen werden.

 

Bye

Norbert

 

From: Dennis Gase

Sent: Wednesday, December 15, 2010 6:47 PM

To: adde@xxxxxxxxxxxxx

Subject: [adde] AD-Schema anpassen

 

Hallo zusammen,

 

ich würde gern den Wert „CN“ ändern, sodass der Wert nicht mehr „Vorname Nachname“ enthält sondern „username“. Ich wollte dies im Schema anpassen, allerdings wird mir dies verwehrt.

 

Die Meldung besagt der Wert könne nicht geändert werden, da er dem System gehört. Ich steh momentan irgendwie auf der Leitung und bin ein wenig ratlos wie ich weiter vorgehen kann.

Etwa die Sicherheitseinstellungen des Wertes ändern oder ist das die völlig falsche Richtung ?

 

Ich wäre Euch unendlich dankbar, wenn ich ein paar Denkanstöße von Euch bekommen könnte.

 

Danke vielmals schon jetzt…

 

Gruß,

 

Dennis 

 

;-)

 

 

-- 

MVP Windows Server: Directory Services

www.kaczenski.de

Twitter: @Kaczenski

www.faq-o-matic.net

MVP-Profil: https://mvp.support.microsoft.com/profile/Nils.Kaczenski

-- 

MVP Windows Server: Directory Services

www.kaczenski.de

Twitter: @Kaczenski

www.faq-o-matic.net

MVP-Profil: https://mvp.support.microsoft.com/profile/Nils.Kaczenski

-- 

MVP Windows Server: Directory Services

www.kaczenski.de

Twitter: @Kaczenski

www.faq-o-matic.net

MVP-Profil: https://mvp.support.microsoft.com/profile/Nils.Kaczenski

-- 
MVP Windows Server: Directory Services

www.kaczenski.de
Twitter: @Kaczenski
www.faq-o-matic.net
MVP-Profil: https://mvp.support.microsoft.com/profile/Nils.Kaczenski