[adde] AW: Re: AW: Re: AW: AW: Re: AD-Schema anpassen

  • From: Dennis Gase <dennis@xxxxxxx>
  • To: "adde@xxxxxxxxxxxxx" <adde@xxxxxxxxxxxxx>
  • Date: Thu, 16 Dec 2010 10:44:55 +0100

Hi und guten Morgen zusammen,

@Nils
Ok verstanden. Danke für die schnelle Hilfe !

@all
Eine Frage habe ich noch anlehnend an dieses Thema. Der Wert „CN“ ist doch eine 
Zusammensetzung aus anderen Werten (IMHO). Kann man diese Zusammensetzung denn 
nicht anpassen? Also bspw. enthält unser „CN“ den Wert „Nachname, Vorname“. Da 
ich den „CN“ des Users aber nicht direkt bearbeiten darf, da er dem System 
gehört kann man denn dann nicht hergehen und die Zuordnung ändern, sodass er 
sich nur zu / aus „anmeldename“ zusammensetzt ?

Von: adde-ml@xxxxxxxxxxxxx [mailto:adde-ml@xxxxxxxxxxxxx] Im Auftrag von Nils 
Kaczenski
Gesendet: Donnerstag, 16. Dezember 2010 08:51
An: adde@xxxxxxxxxxxxx
Betreff: [adde] Re: AW: Re: AW: AW: Re: AD-Schema anpassen

Moin,

eine effiziente Möglichkeit, per LDAP die verschachtelten 
Gruppenmitgliedschaften effektiv abzufragen, gibt es nicht. Es gibt zwar ein 
Feld tokenGroups, aber das enthält (wenn es denn zugreifbar ist, was ich grad 
nicht weiß) nur die AD-Gruppen. Ein User kann aber auch noch in lokalen Gruppen 
des Servers Mitglied sein oder in Gruppen vertrauter Domänen.

In einer Windows-Session könnte man das Access Token auslesen, das die 
tatsächlichen Mitgliedschaften der Session auflistet. Für eine normale Session 
kann man whoami.exe dafür nehmen. Ob das in deinem Fall machbar ist, weiß ich 
nicht.

Gruß, Nils


Am 16.12.2010 00:45, schrieb Dennis Gase:
Hi zusammen,

Verständnis ist nun etwas größer dank der ersten Infos. Danke !

Ich habe jetzt nur noch eine Frage worauf die Erstellung des Filters basiert:

Wie kann ich per LDAP verschachtelte Gruppenmitgliedschaften abfragen OHNE ein 
Script dafür zu benutzen? (bzw. ist das überhaupt möglich?)

Ich würde mit dieser Abfrage gern wissen, ob der zur Zeit angemeldete Benutzer 
Mitglied einer Gruppe und deren Untergruppe(n) ist. Ich bekomme als Information 
aber nur den Anmeldenamen in der php Datei.

Kann ich eventuell einen anderen Weg gehen ?

Man ich bin zur Zeit echt versteift und einfallslos…. :/

Gruß,

Dennis

Von: adde-ml@xxxxxxxxxxxxx<mailto:adde-ml@xxxxxxxxxxxxx> 
[mailto:adde-ml@xxxxxxxxxxxxx] Im Auftrag von Nils Kaczenski
Gesendet: Mittwoch, 15. Dezember 2010 22:27
An: adde@xxxxxxxxxxxxx<mailto:adde@xxxxxxxxxxxxx>
Betreff: [adde] Re: AW: AW: Re: AD-Schema anpassen

Äääähhh ... mir scheint, dir fehlen da ein paar LDAP-Grundlagen zum AD. Im 
"member"-Feld stehen nun mal DNs, keine sAMAccountNames. Da hat das Schema nix 
mit zu tun.
[faq-o-matic.net » Whitepaper: LDAP-Filter für Active Directory]
http://www.faq-o-matic.net/2009/09/24/whitepaper-ldap-filter-fr-active-directory/

Gruß, Nils


Am 15.12.2010 20:59, schrieb Dennis Gase:
Hi,

ich möchte gern u.a. diesen Filter nutzen können:

(member:1.2.840.113556.1.4.1941:=CN=Vorname 
Nachname,OU=Benutzer,OU=Funktion,DC=domäne,DC=de)

Wobei ich bei meinen Tests leider bisher nur mit dem Wert „CN“ erfolgreich war 
und mit bspw. „sAMAccountName“ erfolglos blieb.

Von: adde-ml@xxxxxxxxxxxxx<mailto:adde-ml@xxxxxxxxxxxxx> 
[mailto:adde-ml@xxxxxxxxxxxxx] Im Auftrag von Walter Steinsdorfer
Gesendet: Mittwoch, 15. Dezember 2010 20:42
An: adde@xxxxxxxxxxxxx<mailto:adde@xxxxxxxxxxxxx>
Betreff: [adde] AW: Re: AD-Schema anpassen

Hi,

Warum möchtest du denn den cm anpassen? Mir entgeht gerade der praktische 
Nutzen...

Viele Gruesse

Walter  Steinsdorfer
Mvp Exchange Server
send via WP 7
________________________________
Von: Norbert Fehlauer
Gesendet: Mittwoch, 15. Dezember 2010 20:27
An: adde@xxxxxxxxxxxxx<mailto:adde@xxxxxxxxxxxxx>
Betreff: [adde] Re: AD-Schema anpassen
Hi,

Wie genau willst du das denn ändern? Über welche Version sprechen wir hier?
http://support.microsoft.com/kb/277717 sollte eigentlich den Weg zeigen. Falls 
nicht, müßtest du etwas konkreter in deinen Ausführungen werden. 
[cid:image001.png@01CB9D0E.46DF66A0]

Bye
Norbert

From: Dennis Gase<mailto:dennis@xxxxxxx>
Sent: Wednesday, December 15, 2010 6:47 PM
To: adde@xxxxxxxxxxxxx<mailto:adde@xxxxxxxxxxxxx>
Subject: [adde] AD-Schema anpassen

Hallo zusammen,

ich würde gern den Wert „CN“ ändern, sodass der Wert nicht mehr „Vorname 
Nachname“ enthält sondern „username“. Ich wollte dies im Schema anpassen, 
allerdings wird mir dies verwehrt.

Die Meldung besagt der Wert könne nicht geändert werden, da er dem System 
gehört. Ich steh momentan irgendwie auf der Leitung und bin ein wenig ratlos 
wie ich weiter vorgehen kann.
Etwa die Sicherheitseinstellungen des Wertes ändern oder ist das die völlig 
falsche Richtung ?

Ich wäre Euch unendlich dankbar, wenn ich ein paar Denkanstöße von Euch 
bekommen könnte.

Danke vielmals schon jetzt…

Gruß,

Dennis

;-)






--

MVP Windows Server: Directory Services



www.kaczenski.de<http://www.kaczenski.de>

Twitter: @Kaczenski

www.faq-o-matic.net<http://www.faq-o-matic.net>

MVP-Profil: https://mvp.support.microsoft.com/profile/Nils.Kaczenski



--

MVP Windows Server: Directory Services



www.kaczenski.de<http://www.kaczenski.de>

Twitter: @Kaczenski

www.faq-o-matic.net<http://www.faq-o-matic.net>

MVP-Profil: https://mvp.support.microsoft.com/profile/Nils.Kaczenski

PNG image

Other related posts:

  1. Home
  2. adde
  3. Archive
  4. 12-2010