[adde] AW: AD-Schema anpassen

• From: Walter Steinsdorfer <wstein@xxxxxxxxxxxxxxxx>
• To: "adde@xxxxxxxxxxxxx" <adde@xxxxxxxxxxxxx>
• Date: Thu, 16 Dec 2010 15:00:25 +0100

Hi,

was Nils und auch ich mit der Frage bezwecken ist: "Welchen Grund gibt es das 
der Wert geändert wird".

Uns geht die technische Notwendigkeit gerade ab. Auf deutsch: Eine ABM für 
Admins. Oder betreibst du ein Programm das nur diesen Wert mit der von dir 
angegebenen Reihenfolge auswerten kann? Mir fällt gerade kein Sinnvoller Grund 
ein das zu machen. Vielleicht kannst du darauf mal eingehen, dann können wir 
dir evtl. eine andere Lösung raussuchen anstatt "um das Problem" 
herumzudocktoren.

Viele Grüße


Walter Steinsdorfer
MVP Exchange Server
www.exusg.de<http://www.exusg.de/>
http://msmvps.com/blogs/wstein/default.aspx

________________________________
Von: adde-ml@xxxxxxxxxxxxx [adde-ml@xxxxxxxxxxxxx] im Auftrag von Dennis Gase 
[dennis@xxxxxxx]
Gesendet: Donnerstag, 16. Dezember 2010 14:00
An: adde@xxxxxxxxxxxxx
Betreff: [adde] Re: AD-Schema anpassen

Hi zusammen,

ich möchte gern die Zuordnung ändern können, sodass der CN gleich dem 
Anmeldenamen entspricht und nicht wie in meinem Falle aus Nachname, Vorname 
generiert wird.

Gruß,

Dennis


Von: adde-ml@xxxxxxxxxxxxx [mailto:adde-ml@xxxxxxxxxxxxx] Im Auftrag von Nils 
Kaczenski
Gesendet: Donnerstag, 16. Dezember 2010 12:23
An: adde@xxxxxxxxxxxxx
Betreff: [adde] Re: AW: Re: AW: Re: AW: AW: Re: AD-Schema anpassen

Moin,

statt ausgehend von irgendwelchen Vermutungen interne Manipulationen im AD 
anzufragen, solltest du mal preisgeben, was du denn eigentlich erreichen willst.

Gruß, Nils


Am 16.12.2010 10:44, schrieb Dennis Gase:
Hi und guten Morgen zusammen,

@Nils
Ok verstanden. Danke für die schnelle Hilfe !

@all
Eine Frage habe ich noch anlehnend an dieses Thema. Der Wert „CN“ ist doch eine 
Zusammensetzung aus anderen Werten (IMHO). Kann man diese Zusammensetzung denn 
nicht anpassen? Also bspw. enthält unser „CN“ den Wert „Nachname, Vorname“. Da 
ich den „CN“ des Users aber nicht direkt bearbeiten darf, da er dem System 
gehört kann man denn dann nicht hergehen und die Zuordnung ändern, sodass er 
sich nur zu / aus „anmeldename“ zusammensetzt ?

Von: adde-ml@xxxxxxxxxxxxx<mailto:adde-ml@xxxxxxxxxxxxx> 
[mailto:adde-ml@xxxxxxxxxxxxx] Im Auftrag von Nils Kaczenski
Gesendet: Donnerstag, 16. Dezember 2010 08:51
An: adde@xxxxxxxxxxxxx<mailto:adde@xxxxxxxxxxxxx>
Betreff: [adde] Re: AW: Re: AW: AW: Re: AD-Schema anpassen

Moin,

eine effiziente Möglichkeit, per LDAP die verschachtelten 
Gruppenmitgliedschaften effektiv abzufragen, gibt es nicht. Es gibt zwar ein 
Feld tokenGroups, aber das enthält (wenn es denn zugreifbar ist, was ich grad 
nicht weiß) nur die AD-Gruppen. Ein User kann aber auch noch in lokalen Gruppen 
des Servers Mitglied sein oder in Gruppen vertrauter Domänen.

In einer Windows-Session könnte man das Access Token auslesen, das die 
tatsächlichen Mitgliedschaften der Session auflistet. Für eine normale Session 
kann man whoami.exe dafür nehmen. Ob das in deinem Fall machbar ist, weiß ich 
nicht.

Gruß, Nils


Am 16.12.2010 00:45, schrieb Dennis Gase:
Hi zusammen,

Verständnis ist nun etwas größer dank der ersten Infos. Danke !

Ich habe jetzt nur noch eine Frage worauf die Erstellung des Filters basiert:

Wie kann ich per LDAP verschachtelte Gruppenmitgliedschaften abfragen OHNE ein 
Script dafür zu benutzen? (bzw. ist das überhaupt möglich?)

Ich würde mit dieser Abfrage gern wissen, ob der zur Zeit angemeldete Benutzer 
Mitglied einer Gruppe und deren Untergruppe(n) ist. Ich bekomme als Information 
aber nur den Anmeldenamen in der php Datei.

Kann ich eventuell einen anderen Weg gehen ?

Man ich bin zur Zeit echt versteift und einfallslos…. :/

Gruß,

Dennis

Von: adde-ml@xxxxxxxxxxxxx<mailto:adde-ml@xxxxxxxxxxxxx> 
[mailto:adde-ml@xxxxxxxxxxxxx] Im Auftrag von Nils Kaczenski
Gesendet: Mittwoch, 15. Dezember 2010 22:27
An: adde@xxxxxxxxxxxxx<mailto:adde@xxxxxxxxxxxxx>
Betreff: [adde] Re: AW: AW: Re: AD-Schema anpassen

Äääähhh ... mir scheint, dir fehlen da ein paar LDAP-Grundlagen zum AD. Im 
"member"-Feld stehen nun mal DNs, keine sAMAccountNames. Da hat das Schema nix 
mit zu tun.
[faq-o-matic.net » Whitepaper: LDAP-Filter für Active Directory]
http://www.faq-o-matic.net/2009/09/24/whitepaper-ldap-filter-fr-active-directory/

Gruß, Nils


Am 15.12.2010 20:59, schrieb Dennis Gase:
Hi,

ich möchte gern u.a. diesen Filter nutzen können:

(member:1.2.840.113556.1.4.1941:=CN=Vorname 
Nachname,OU=Benutzer,OU=Funktion,DC=domäne,DC=de)

Wobei ich bei meinen Tests leider bisher nur mit dem Wert „CN“ erfolgreich war 
und mit bspw. „sAMAccountName“ erfolglos blieb.

Von: adde-ml@xxxxxxxxxxxxx<mailto:adde-ml@xxxxxxxxxxxxx> 
[mailto:adde-ml@xxxxxxxxxxxxx] Im Auftrag von Walter Steinsdorfer
Gesendet: Mittwoch, 15. Dezember 2010 20:42
An: adde@xxxxxxxxxxxxx<mailto:adde@xxxxxxxxxxxxx>
Betreff: [adde] AW: Re: AD-Schema anpassen

Hi,

Warum möchtest du denn den cm anpassen? Mir entgeht gerade der praktische 
Nutzen...

Viele Gruesse

Walter  Steinsdorfer
Mvp Exchange Server
send via WP 7
________________________________
Von: Norbert Fehlauer
Gesendet: Mittwoch, 15. Dezember 2010 20:27
An: adde@xxxxxxxxxxxxx<mailto:adde@xxxxxxxxxxxxx>
Betreff: [adde] Re: AD-Schema anpassen
Hi,

Wie genau willst du das denn ändern? Über welche Version sprechen wir hier?
http://support.microsoft.com/kb/277717 sollte eigentlich den Weg zeigen. Falls 
nicht, müßtest du etwas konkreter in deinen Ausführungen werden. 
[cid:image001.png@01CB9D29.A94B3790]

Bye
Norbert

From: Dennis Gase<mailto:dennis@xxxxxxx>
Sent: Wednesday, December 15, 2010 6:47 PM
To: adde@xxxxxxxxxxxxx<mailto:adde@xxxxxxxxxxxxx>
Subject: [adde] AD-Schema anpassen

Hallo zusammen,

ich würde gern den Wert „CN“ ändern, sodass der Wert nicht mehr „Vorname 
Nachname“ enthält sondern „username“. Ich wollte dies im Schema anpassen, 
allerdings wird mir dies verwehrt.

Die Meldung besagt der Wert könne nicht geändert werden, da er dem System 
gehört. Ich steh momentan irgendwie auf der Leitung und bin ein wenig ratlos 
wie ich weiter vorgehen kann.
Etwa die Sicherheitseinstellungen des Wertes ändern oder ist das die völlig 
falsche Richtung ?

Ich wäre Euch unendlich dankbar, wenn ich ein paar Denkanstöße von Euch 
bekommen könnte.

Danke vielmals schon jetzt…

Gruß,

Dennis

;-)







--

MVP Windows Server: Directory Services



www.kaczenski.de<http://www.kaczenski.de>

Twitter: @Kaczenski

www.faq-o-matic.net<http://www.faq-o-matic.net>

MVP-Profil: https://mvp.support.microsoft.com/profile/Nils.Kaczenski




--

MVP Windows Server: Directory Services



www.kaczenski.de<http://www.kaczenski.de>

Twitter: @Kaczenski

www.faq-o-matic.net<http://www.faq-o-matic.net>

MVP-Profil: https://mvp.support.microsoft.com/profile/Nils.Kaczenski



--

MVP Windows Server: Directory Services



www.kaczenski.de<http://www.kaczenski.de>

Twitter: @Kaczenski

www.faq-o-matic.net<http://www.faq-o-matic.net>

MVP-Profil: https://mvp.support.microsoft.com/profile/Nils.Kaczenski

• References:
  • [adde] Re: AD-Schema anpassen
    • From: Dennis Gase

Other related posts:

• » [adde] AW: AD-Schema anpassen- Tesch, Carsten
• » [adde] AW: AD-Schema anpassen - Walter Steinsdorfer

1. Home
2. adde
3. Archive
4. 12-2010

---

• » Previous by Date
• » Next by Date
• » Related Posts
• » View list details
• » Manage your subscription

---